Cookies roubados pela API não documentada do Google!
-Navegadores
Os cookies de autenticação são pequenos arquivos de texto armazenados no dispositivo do usuário, usados para verificar e confirmar a identidade de um usuário durante o processo de acesso a um site ou aplicativo web. Falando sobre cookies e sequestro de sessão, já explicamos que um invasor pode implementar roubo de identidade sem saber o nome de usuário e a senha de outra pessoa. Basta roubar o cookie de autenticação de terceiros junto com seu conteúdo.
O invasor explora o fato de que o cookie de autenticação contém um identificador exclusivo ou um token que o servidor reconhece como válido para o usuário específico. A presença do cookie evita que cada usuário tenha que fazer login em todas as páginas ou sempre que se conectar ao site. Escusado será dizer que, dada a importância do conteúdo dos cookies de autenticação, é necessário o uso de conexões criptografadas (protocolo HTTPS) para proteger os dados de autenticação durante a transmissão, evitando ataques man-in-the-middle. Caso contrário, um invasor pode se interpor entre o cliente e o servidor e roubar o cookie.
API do Google não documentada: explorada para roubar cookies de autenticação
O que vem acontecendo desde novembro de 2023 nos dá algumas informações: os invasores estão usando uma API não documentada do Google para gerar novos cookies de autenticação quando os anteriormente roubados expiram. Os cookies de autenticação, na verdade, têm período de validade limitado para garantir a segurança da sua conta. O fato de um invasor poder gerar um novo cookie válido a partir do agora expirado, anteriormente roubado, constitui um grande problema.
O Google não compartilhou publicamente nenhuma informação sobre a API (Application Programming Interface) em questão. No entanto, consultando a fonte do navegador Chromium, projeto do qual eles derivam Chrome , Edge e muitos outros softwares de navegação alternativos, aprendemos que a API em questão é chamada Multilogin e é indiscutivelmente projetada para sincronizar contas entre vários serviços do Google usando IDs exclusivos e tokens de autorização.
De acordo com vários analistas, incluindo Pavan Karthick da CloudSEK, o malware está abusando da API Multilogin para manter o controle sobre as contas dos usuários por muito mais tempo do que era possível até recentemente. Conforme destacado acima, na verdade é bastante simples gerar tokens novos, perfeitamente válidos, quando os anteriores expirarem.
Em dezembro de 2023, descobriu-se que vários programas maliciosos adicionais utilizaram a mesma técnica de exploração de Lumma e Rhadamanthys, incluindo Stealc, Medusa, RisePro e Whitesnake.
Google joga água no fogo e não parece particularmente impressionado
Atualmente, o Google parece reduzir o problema de falar sobre roubos de cookies que ocorrem ao utilizar técnicas bem estabelecidas. A empresa liderada por Sundar Pichai afirma ainda que a API Multilogin funciona conforme o esperado e não haveria vulnerabilidade.
A empresa propõe forçar o logout dos usuários vítimas do ataque, em cada dispositivo afetado, e encerrar todas as sessões ativas por meio da página Seus dispositivos. Dessa forma, o token não poderia mais ser atualizado a partir de um cookie roubado anteriormente.
O Google revelou que identificou indivíduos que foram afetados pelo uso não autorizado da API mencionada e os informou adequadamente. Deve-se notar, entretanto, que esta API permanece integrada ao código-fonte do Chromium, Chrome e vários outros navegadores da Internet. Além disso, não há restrições de acesso à API para funcionalidade multilogin; portanto, os profissionais de segurança cibernética argumentam que os utilizadores podem permanecer alheios a quaisquer atividades maliciosas, a menos que os perpetradores executem manobras evidentes.
barra lateral inferior relacionada 300
*️⃣ Link da fonte:
Fonte do navegador Chromium , Pavan Karthick da CloudSEK , Seus dispositivos ,