Il Security Research Group di Astrix ha scoperto una vulnerabilità zero-day nella Google Cloud Platform (GCP), denominata GhostToken, che consente di infettare gli account Google con un’app invisibile. La startup israeliana ha segnalato il problema di sicurezza il 19 giugno 2022. L’azienda di Mountain View ha rilasciato la patch il 7 aprile 2023.
Trojan app nascosta nell’account Google
Per aggiungere specifiche funzionalità a Google Workspace è possibile utilizzare le app di terze parti pubblicate sul Marketplace o siti esterni. Le app autorizzate tramite OAuth ricevono un token che garantisce l’accesso all’account Google. Sfruttando la vulnerabilità GhostToken è possibile nascondere le app infette, quindi non vengono mostrate nella pagina App con accesso al tuo account.
Dato che questa pagina è l’unico posto in cui l’utente può revocare l’accesso, l’app infetta non può essere rimossa, in quanto non visibile. I cybercriminali possono quindi prendere il controllo dell’account ed eseguire numerose azioni: leggere le email su Gmail, accedere ai file su Google Drive e alle immagini su Google Foto, vedere gli eventi in Google Calendar e tracciare la posizione geografica su Google Maps.
Le app che richiedono l’autorizzazione OAuth sono associate ad un progetto GCP (Google Cloud Platform). Quando viene concessa l’autorizzazione, l’app riceve un “refresh token”. Il malintenzionato elimina il progetto e l’app infetta entra nello stato “pending deletion”, quindi non è più visibile e non può essere rimossa dall’utente. Per accedere ai dati della vittima è sufficiente ripristinare il progetto GCP e usare lo stesso refresh token per ottenere un “access token”. Dopo aver rubato i dati viene nuovamente cancellato il progetto e il ciclo ricomincia.
Grazie alla patch rilasciata da Google, le app nello stato “pending deletion” vengono ora mostrate nella pagina App con accesso al tuo account, quindi possono essere cancellate.