Ez egy adathalász-séma, amely még többfaktoros hitelesítést és jelszó megváltoztatását sem javítja.

Szerdán egy hatalmas Google Dokumentumok adathalász támadása terjedt el a Gmail-en, az emberek könyvelését és az áldozatok kapcsolatlistáinak spamelését. A Google gyorsan leállította a támadást, amely a Gmail felhasználóinak mintegy 0, 1 százalékát érinti.

Még ebben az alacsony számban is, mintegy 1 milliárd Gmail-felhasználóval, ez még mindig legalább 1 millió embert veszélyeztet. És a tipikus adathalász-észlelés, amit a Gmail kínál, nem tudta megakadályozni, mert a támadásnak még nem kellett áldozatokat írni a jelszavukba.

Az adathalász-csalás az OAuth kizsákmányolására támaszkodott, egy olyan ritka rendszer, amely szerdán kitett a világra. Az Open Authorization-t jelentő OAuth lehetővé teszi, hogy az alkalmazások és szolgáltatások "beszéljenek" egymással anélkül, hogy bejelentkeznének a fiókjaiba. Gondolj arra, hogy az Amazon Alexa hogyan tudja elolvasni a Google Naptár eseményeit, vagy hogy a Facebook barátaid láthatják, milyen dalot hallgatsz a Spotify-n. Az elmúlt három évben az OAuth-ot használó alkalmazások 5500-ról 276 000-re ugrottak a Cisco Cloudlock szerint.

"Most, hogy ezt a technikát széles körben ismerik, valószínűleg jelentős problémát jelent - olyan sok online szolgáltatás van, amely az OAuth-ot használja, és nehéz nekik, hogy teljes körűen állítsák fel az összes harmadik féltől származó alkalmazást, " mondta Greg Martin. A Jask cybersecurity cég vezérigazgatója, e-mailben.

Hogyan hasonlították el a Google Dokumentumok a tipikus adathalász támadásokat?

Egy tipikus adathalász-támadás egy olyan webhelyet foglal magában, amely a jelszót írja be, hogy érzékeny információkat küldjön a tolvajnak, vagy az adatbázisba bejelentkezzen.

Az OAuth kihasználásával, mint a Google Dokumentumok átverése esetén, a fiókok eltéríthetõk anélkül, hogy a felhasználó semmit írna. A Google Dokumentumok rendszerben a támadó hamis változatot hozott létre a Google Dokumentumokban, és engedélyt kért az áldozat e-mailjeinek olvasására, írására és elérésére.

Az OAuth kihasználási engedély megadásával ténylegesen megadta a rosszfiúk hozzáférését fiókjához anélkül, hogy szüksége lenne jelszóra.

Miért nem tudom megváltoztatni a jelszavamat?

Az OAuth nem működik jelszavakon keresztül, engedélykódokon keresztül működik. Ha egy jelszó kulcsfontosságú a fiók ajtainak zárolásában, OAuth egy ajtókereskedő, aki rendelkezik a kulcsokkal, és aki becsapódik, hogy más embereket engedjen be.

Önnek vissza kell vonnia a behatolók kivonására vonatkozó engedélyeket.

Miért nem hagyja abba a többfaktoros hitelesítést az OAuth?

A többfaktoros hitelesítés azt kéri, hogy adjon meg egy biztonsági kódot, amikor egy jelszóval bejelentkezik.

Ebben a kihasználásban a jelszavak nem a belépési pont. Tehát, ha a hackerek használják az OAuth alkalmazásokat, nem kell megadniuk a jelszót - az áldozat már megtette az engedélyt.

"Az alkalmazásoknak nem kell második tényezőnek lennie, ha a felhasználó engedélyt adott", a Cisco kutatása szerint.

Szóval, mit kell tennem, ha valami hasonlóra esett a Gmail adathalász-csalásra?

Szerencsére a javítás könnyebben kezelhető, mintha egy szabványos adathalászat-kihasználásért esett volna. A Google esetében az engedélyeket visszavonhatja a //myaccount.google.com/permissions oldalon. Ha a hamis alkalmazás le van állítva, ahogyan a Google a Google Dokumentumokkal kapcsolatos hamisítást végezte, az engedély automatikusan visszavonásra kerül.

Az OAuth-ot használó egyéb szolgáltatások esetében ez nem olyan egyszerű. A legtöbb szolgáltatás, amely az OAuth-ra támaszkodik, rendelkezik egy oldallal, ahol kezelheti engedélyeit, például a Twitter alkalmazásai oldalát. Az Android 6.0 eszközökön az Alkalmazáskezelő jogosultságai visszavonhatók a beállításokban.

Sajnos több százezer alkalmazást használnak, amelyek az OAuth-ot használják, és nem elég időt arra, hogy a legtöbb ember megtalálja az összes engedélyezési oldalt.

CNET Magazine: Nézze meg a CNET hírlevelében található történetek mintavételét.

Ez bonyolult: ez az alkalmazások kora. Még szórakoztató? Ezek a történetek az ügy szívébe kerülnek.