Google-OAuth-Endpunkt-Exploit bedroht die Sicherheit von Google-Konten

Android Malware

Mehrere Malware-Familien nutzen anscheinend einen undokumentierten Google OAuth-Endpunkt namens „MultiLogin“ aus, um abgelaufene Authentifizierungscookies wiederzubeleben und so unbefugten Zugriff auf die Google-Konten der Benutzer zu ermöglichen.

Wie funktioniert der Exploit?

Der Exploit funktioniert durch das Extrahieren von Token und Konto-IDs aus Chrome-Profilen, die bei einem Google-Konto angemeldet sind. Zu den gestohlenen Informationen gehören der Dienst (GAIA-ID) und das verschlüsselte_Token. Mithilfe eines Verschlüsselungsschlüssels, der in der „Local State“-Datei von Chrome gespeichert ist, entschlüsseln Bedrohungsakteure die gestohlenen Token. Diese entschlüsselten Token, gepaart mit dem MultiLogin-Endpunkt, ermöglicht es, abgelaufene Google-Service-Cookies neu zu generieren.

Was ist der Schaden?

So können das Authentifizierungs-Cookie zwar nur einmal neu generiert werden, wenn ein Benutzer sein Google-Passwort zurücksetzt. Man kann jedoch wiederholt Authentifizierungs-Cookies neu generieren, wenn das Passwort unverändert bleibt. Mehrere Schadprogramme wie Lumma, Rhadamanthys, Stealc, Medusa, RisePro und Whitesnake nutzen diese Schwachstelle.

Was kann ich tun, um mich zu schützen?

Es gibt einige Dinge, die man tun kann, um sich vor diesem Exploit zu schützen:

  • Aktualisiert Chrome auf die neueste Version.
  • Verwendet ein starkes Passwort für das Google-Konto.
  • Aktiviert die Zwei-Faktor-Authentifizierung (2FA) für das Google-Konto.
  • Seit vorsichtig, welche Links ihr anklickt und welche Dateien ihr herunterladet.

Google hat noch keine offizielle Stellungnahme zu dieser Sicherheitslücke abgegeben.

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

Quelle(n):
Bleeping Computer

Links mit einem * sind Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Telegram, WhatsApp, Mastodon, Threads, Bluesky oder auf Facebook oder abonniere meinen RSS-Feed!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert