Google: abuso dell’API solo furto di cookie basato su malware

Google tranquillizza gli utenti sul recente abuso del non documentato endpoint OAuth di Google Multilogin per riattivare i cookie di sessione scaduti, che ora è comune in diversi malware infostealer. Questo problema, infatti, non dovrebbe basarsi su bug di sicurezza di Google. A riferirlo è il sito BleepingComputer, citando fonti vicine interne all’azienda, secondo cui Big G presume che l'API sta funzionando come previsto. La stessa azienda statunitense ha dichiarato di essere “a conoscenza di recenti segnalazioni di una famiglia di malware che ruba token di sessione”. Tuttavia, attacchi di questo tipo non sono una novità e l’azienda migliora regolarmente le proprie misure di difesa per proteggere gli utenti. La società di Mountain View ha poi aggiunto che “in questo caso, sono state adottata misure per proteggere tutti gli account compromessi scoperti”.

Google: i consigli di Google per evitare che i cookie di sessione scaduti vengano ripristinati

I ricercatori di sicurezza di CloudSEK, solo pochi giorni fa, hanno avvertito gli utenti dall'uso improprio dell'endpoint Multilogin. Manipolando in modo specifico i dati trasmessi all'API, i criminali informatici possono riattivare i cookie di sessione scaduti per gli account Google anche se l’utente presa di mira ha reimpostato la password. Ciò consente l'accesso permanente ai servizi Google della vittima. La soluzione di Big G ora prevede che gli utenti si disconnettano dalle sessioni compromesse attraverso la gestione dei dispositivi del proprio account Google. Ciò invalida il token di aggiornamento in possesso dell'attaccante in modo che non venga più accettato dall'API e non verrà emesso un nuovo token di sessione. Google consiglia inoltre agli utenti interessati di modificare la password, usare un antivirus per cercare infezioni malware e rimuoverle, ma anche attivare la Navigazione sicura avanzata in Chrome per proteggersi da ulteriori attacchi di phishing e malware.

La raccomandazione di Big G ha però un problema. Spesso gli utenti non si accorgono nemmeno se qualcuno accede ai loro account o ai cookie di sessione. Spesso un attacco viene notato solo quando l'aggressore ha già abusato dell’accesso all'account Google per scopi dannosi. E senza sapere di una simile fuga di dati, pochissimi utenti probabilmente penserebbero di controllare la gestione del dispositivo del proprio account per verificare se sono presenti sessioni compromesse. Sebbene Google abbia informato gli utenti colpiti da questo abuso dell'API cosa accadrà alle future vittime, non è chiaro. Sarebbe auspicabile che l’azienda imponesse restrizioni protettive sull’endpoint multi-login. Finora l'azienda  di Mountain View non ha rilasciato commenti su tali possibili piani.