Je to schéma neoprávneného získavania údajov (phishing), ktorá dokonca neovplyvní dokonca aj viacfaktorové overovanie a zmena hesla.

V stredu sa masívny phishingový útok služby Dokumenty Google šíri cez Gmail, únosy účtov ľudí a spamovanie na zoznamy kontaktov obetí. Spoločnosť Google rýchlo vyplatila útok, ktorý postihol približne 0, 1 percenta používateľov služby Gmail.

Dokonca aj na takomto malom počte, s približne 1 miliardou používateľov služby Gmail, je to ešte najmenej 1 milión ľudí, ktorí sú ohrození. A typická detekcia neoprávneného získavania údajov, ktorú Gmail ponúka, nemohla zablokovať, pretože útok ani nepotreboval obete na zadávanie hesiel.

Podvod, ktorý sa týkal neoprávneného získavania údajov, spoliehal na zneužívanie OAuth, čo je vzácna schéma, ktorá sa v stredu vystavila svetu. OAuth, čo znamená Open Authorization, umožňuje aplikáciám a službám navzájom "rozprávať" bez prihlásenia sa do vašich účtov. Premýšľajte o tom, ako môže vaša Amazonka Alexa prečítať vaše udalosti v službe Kalendár Google alebo ako môžu vaši priatelia v službe Facebook vidieť, akú skladbu počúvate na Spotify. V posledných troch rokoch aplikácie, ktoré používajú OAuth, sa zvýšili z 5500 na 276 000, podľa spoločnosti Cisco Cloudlock.

"Teraz, keď je táto technika všeobecne známa, je pravdepodobné, že to bude znamenať významný problém - existuje toľko on-line služieb, ktoré používajú OAuth a je pre nich ťažké plne preskúmať všetky aplikácie tretích strán, " povedal Greg Martin, Generálny riaditeľ firmy cybersecurity Jask.

Ako sa Google Docs využíval odlišne od typických útokov typu phishing?

Typický útok typu phishing obsadzuje webovú lokalitu, ktorá vás napomáha zadaním hesla, odosielaním citlivých informácií zlodejovi alebo jeho prihlásením do databázy.

S využitím technológie OAuth, ako v prípade podvodu v službe Dokumenty Google, môžu byť účty zneužité bez toho, aby používateľ napísal čokoľvek. V systéme Dokumenty Google útočník vytvoril falošnú verziu dokumentov Google a požiadal o povolenie na čítanie, zápis a prístup k e-mailom obete.

Udelením povolenia na zneužitie OAuth ste účinne poskytli zlým klukom prístup k vášmu účtu bez toho, aby ste potrebovali heslo.

Prečo nemôžem zmeniť heslo?

Služba OAuth nefunguje prostredníctvom hesiel, ale funguje prostredníctvom tokenov povolení. Ak je heslo kľúčom k uzamknutiu dverí vášho účtu, OAuth je vrátnik, ktorý má kľúče a kto sa podvádza, aby dovolil ostatným ľuďom.

Budete musieť zrušiť povolenia na vykopnutie votrelcov.

Prečo nekontroluje multifaktorové overovanie OAuth?

Multifaktorové autentifikácie pracujú tak, že vás vyzývajú na zadanie bezpečnostného kódu pri pokuse o prihlásenie pomocou hesla.

Opäť, v tomto zneužívaní, heslá nie sú vstupným bodom. Takže keď hackeri používajú OAuth zneužitie, nemusia zadávať heslo - obeť podvedená do udelenia povolenia už urobila.

"Samotné aplikácie nemusia mať druhý faktor, akonáhle užívateľ udelil povolenia, " tvrdí výskum spoločnosti Cisco.

Takže, čo by som mal urobiť, keby som padol za niečo ako podvod, ktorý sa stane phishingom v službe Gmail?

Našťastie je oprava jednoduchšia, ako keby ste klesli na štandardný phishingový prístup. V prípade spoločnosti Google môžete zrušiť povolenia na stránke //myaccount.google.com/permissions. Ak je falošná aplikácia vypnutá, ako to urobila spoločnosť Google s falošným dokumentom Google, povolenie by bolo tiež automaticky zrušené.

Pre iné služby používajúce službu OAuth nemusí byť jednoduché. Väčšina služieb, ktoré sa spoliehajú na službu OAuth, bude mať stránku, na ktorej môžete spravovať svoje povolenia, napríklad stránku Aplikácie Twitter. V zariadeniach so systémom Android 6.0 môžete vo svojich nastaveniach zrušiť povolenia aplikácie Správca aplikácií.

Bohužiaľ, existujú stovky tisíc aplikácií, ktoré používajú službu OAuth a pre väčšinu ľudí nie je dostatok času nájsť pre ne všetky stránky so svojimi povoleniami.

CNET Magazine: Pozrite si ukážku príbehov, ktoré nájdete v publikácii CNET.

Je to zložité: datuje sa od veku aplikácií. Už sa baviť? Tieto príbehy sa dostanú do podstaty veci.