Systemy, które umożliwiają przy użyciu narzędzia OAuth logowanie się każdemu użytkownikowi jako administrator, były od zawsze narażone na zagrożenia tego typu. Ostatnie ataki nie różnią się od częstych nadużyć kierowanych do użytkowników za pośrednictwem sklepu Google Play przez autorów złośliwego oprogramowania.

Google powinien staranniej sprawdzać twórców każdej aplikacji. Większość użytkowników powinna być również ostrożniejsza przy korzystaniu z usług świadczonych przez Google, Twitter, Facebook i inne usługi online, które korzystają z programu OAuth. Użytkownicy Twittera padli ofiarami tej techniki kilka lat temu. Niestety, Google padł ofiarą podobnego ataku.

Przebieg ataku tego typu odbywa się następująco:

1. Użytkownik otrzymuje e-mail z Google, którzy przekazuje informację o tym,  że ktoś chce udostępnić mu plik.

2. Użytkownik zostaje wysłany do strony logowania Google i loguje się.

3. Wyskakuje powiadomienie,  że "add on" chce uzyskać dostęp do poczty i kontaktów.  Nazwa nadawcy  wyświetla się jako "Dokumenty Google".

4. Jedynym sposobem na sprawdzenie, czy wiadomość jest prawdziwa, jest kliknięcie "Dokumentów Google" i sprawdzenie rzeczywistego konta przesyłającego żądanie.

Gdy użytkownicy widzą oficjalne e-maile od Google i oficjalne strony logowania, łatwo padają ofiarami ataku. Mimo, że wszyscy dostawcy firmy OAuth mają obowiązek kontrolować wykorzystanie swoich platform, aby uniemożliwić hakerom oszukanie użytkowników przez wyglądające jak oficjalne żądania autoryzacji z usług Google, Twitter czy Facebook, ataki takie są coraz częstsze. Użytkownicy zawsze powinni być czujni w zakresie social media, ale także obserwować informacje się tam pokazujące.

Jak udowadnia przypadek ataku na Google, Twitter to świetny system wczesnego ostrzegania. Nie ma wątpliwości, że ostrzeżenia, które pojawiły się w tym kanale uchroniły wielu użytkowników przed atakiem.

Wszyscy użytkownicy powinni sprawdzić zainstalowane na swoim urządzeniu aplikacje, którym umożliwili dostęp do swoich kont i usunąć wszystkie te, które są  podejrzane. Dotyczy to przede wszystkim aplikacji opartych na OAuth. W przypadku konta Google możliwe jest to po wejściu w „Logowanie i bezpieczeństwo”, następnie „Połączone aplikacje i witryny”. W przypadku kont Twitter i Facebook należy zajrzeć w  „Ustawienia i prywatność”, a następnie „Aplikacje”. 

Jedynym skutecznym sposobem zabezpieczenia się przed atakami tego typu jest nieprzyjmowanie aplikacji łączących się z kontem i proszących o udzielenie dostępu do poczty i kontaktów. Gdy użytkownik dostrzeże podejrzaną wiadomość tego typu, dobrą praktyką jest sprawdzenie kont w mediach społecznościowych, a także zobaczenie, jakie aplikacje mają pozwolenie na dostęp do informacji osobistych oraz cofnięcie uprawnień, wszystkim aplikacjom, z których nie korzystamy na co dzień.

Autor: Chester Wisniewski, Sophos