A Makay Kiberbiztonsági Kft. néhány nappal ezelőtt ismertetett egy már aktívan alkalmazott kibertámadási technikát, amit végrehajtva rosszindulatú linkekkel ellátott Google Calendar értesítéseket lehet küldeni minden felhasználó számára. Makay Ágnes Krisztina, a cég no‑tech hacking és social engineering szakértője azonban felfedezte, hogy a támadási módszer egy jóval súlyosabb változatát is el lehet végezni, méghozzá a Google Drive segítségével.
A Google Calendarral (Google Naptár) elvégezhető támadás lényege röviden az, hogy naptáreseményekre úgy is meg lehet hívni embereket, hogy azok nem kapnak külön értesítést a meghívás tényéről – erre maga a felület ad kipipálós lehetőséget. Mivel az eseményekhez linket is lehet csatolni, a rosszindulatú támadók tömegesen küldhetnek olyan naptáreseményeket az emberek naptárába, amikről már csak akkor értesülnek, ha folyamatosan figyelik a naptárjukat, illetve ha a támadó értesítést állít be magához az eseményhez, ez utóbbit pedig a hatékonyság érdekében meg is teszik.
A naptáros esetben annyi nehezítés van, hogy az értesítés megnyitása még nem jelenti a támadó link megnyitását is – azt csak a megnyitott naptáreseményben lehet megtenni –, továbbá sok androidos okostelefonon a gyártó naptár alkalmazása található meg a Google Calendar helyett.
Csakhogy a Google Drive esetében – amiben szintén meg lehet hívni akár ismeretlen felhasználókat is tartalmak elérésére – kifejezetten a felhasználó meghívásának értesítésén volt a hangsúly, ugyanis míg a naptárnál a naptáresemény címe jelenik meg az értesítésben, addig a fájlmegosztásnál a meghívás üzenetében megadott szöveg kerül feltüntetésre.
Ez ideális esetben még mindig nehezített pálya lenne, hiszen a felhasználónak az értesítés megnyitása után a Google Drive felületén kellene látniuk a fájlt egy egyelemű listában, annak megnyílása nélkül.
A vártakkal ellentétben viszont a minden androidos okostelefonon megtalálható Drive az értesítés megnyitásakor azonnal megnyitja a megosztott fájlt és már annak tartalmát mutatja a felhasználónak, ami ebben az esetben lehet egy adathalász weboldal, a webes nézet (WebView) valamilyen sérülékenységét kihasználó exploit kód, vagy egy kártékony mobilalkalmazás APK-telepítőcsomagja is.
A támadási mód minden okostelefonon és operációs rendszeren sikeres volt, kivételt képez az iOS-re szánt Google Drive kliens, amiben csupán a támadó weboldal forráskódja jelent meg, az abból előállított, kattintható weboldal már nem.
A Makay Kiberbiztonsági Kft. 2021. augusztus 30-án jelezte a biztonsági problémát a Google felé, viszont a vállalat az alábbit válaszolta:
„Az általad leírt probléma csak egy social engineering (támadás) eredménye lehet, és úgy gondoljuk, hogy ennek javítása nem tenné jelentősen kevésbé sebezhetővé a felhasználóinkat az ilyen támadásokkal szemben.”
Mivel a válasz alapján a jelenlegi működésben nem várható gyökeres változás az elkövetkező időkben, minden felhasználónak javasoljuk, hogy az okostelefonos értesítések megnyitásával legyen nagyon óvatos, ugyanis a támadási módszer alapjait már jelenleg is tömegesen alkalmazzák – olyan felhasználók ellen is, akik úgy gondolják, hogy őket nincs értelme megtámadni.
A múlt héten a Nemzeti Kibervédelmi Intézet a Microsoft-programok sebezhetőségei miatt adott ki figyelmeztetést.
Láttál, hallottál olyat, amit szerinted érdemes a tatabányaiakkal megosztani! Bármit találtál, ha nálunk a helye, küldd el a boldoguljtatabanyan@gmail.com címre.
Ha van kedved, lépj be a Boldogulj Tatabányán Facebook csoportba, vagy kövesd a Boldogulj Tatabányán oldalunkat Facebookon. Ingyen jutunk el hozzád, de nem ingyen készülünk ezért kérünk, támogasd portálunkat! Előre is köszönjük!
Ajánlott bejegyzések:
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.
