Причиной недавней фишинговой атаки «Google Docs» стала уязвимость в OAuth, обнаруженная 6 лет назад

Буквально вчера в Интернете получила широкое распространение фишинговая атака, связанная с Google Docs: мы писали о подробностях и способах защиты. Несмотря на то, что Google работает над закрытием уязвимости, проблему нельзя считать решенной — она тесно связана с реализацией активно используемого открытого протокола OAuth. Кроме того, как оказалось, такой тип атак был предсказан еще 6 лет назад, и за все это время защите от него не уделили должного внимания.

История

2011

В октябре 2011 года исследователь Андре Демар (Andre DeMarre) описал потенциальную уязвимость, связанную с принципом работы протокола OAuth. По его словам, злоумышленникам бы не составило особого труда выдать себя за известную компанию (например, Google) и заставить невнимательного пользователя, авторизованного на каком-то сервисе (допустим, foobar.blabla), предоставить свои личные данные в распоряжение третьему лицу (на сайте foobar.blabla появляется поп-ап «Google запрашивает разрешение на такие-то действия», и вы кликаете «Разрешить»).

2014

Схожее предупреждение поступило в 2014 году от Эндрю Кантино (Andrew Cantino). Для проверки гипотезы он создал веб-приложение под названием Google Security Updater и обнаружил, что в процессе аутентификации Google ни в каком виде не оповещает пользователя о том, что эта программа создана посторонним лицом и не имеет отношения к оригинальной продукции компании.

2017

В феврале 2017 года Грег Карсон (Greg Carson) сообщил о рисках, связанных с OAuth, после того, как стал переводить подчиненных на сервис Google Apps для бизнеса. Он даже подозревает, что его опасения, высказанные в Сети, и некоторые части выложенного им кода были использованы хакерами для создания эксплойтов (но при этом остались проигнорированы самой Google).

А если короче?

Атака типа Google Docs далеко не последняя в своем роде. Она основана на уязвимости протокола OAuth и проводится за счет мимикрии под авторитетные сервисы. Например, использует их название и логотип, а также запрашивает разрешение на использование личных данных:

Обычным пользователям ее сложно обнаружить, а Google, как выяснилось, до настоящего момента не сильно беспокоилась о последствиях.

Как себя защитить?

• Тщательно проверяйте, кому и на использование каких данных вы даете разрешение. Заметьте, при OAuth-атаках не требуется непосредственный ввод личной информации — только клик.
• Если у вас есть подозрения или подтверждение того, что вы стали жертвой атак, связанных с сервисами Google, зайдите в настройки учетной записи и удалите все опасные приложения: например, в списке не должно быть названий типа «Google Docs» — такие сервисы подключены по умолчанию и там не выводятся.
• По возможности, на других сервисах, где вы авторизованы, тоже проверяйте подключенные приложения на предмет зловредных.
• При обнаружении подозрительных писем в Почте Google пользуйтесь формой «Сообщить о фишинге».
• Организациям следует ввести в оборот использование специальных инструментов и систем предотвращения вторжений.

Помните, что абсолютную безопасность в Интернете обеспечить вам не может никто, но сильно повысить уровень защиты можно банальной внимательностью, что особенно важно в условиях стремительного распространения зловредной деятельности.