Von Malware missbraucht: Google stuft Multilogin-Endpunkt wohl als sicher ein
Der inzwischen bei mehreren Infostealer-Malwares gängige Missbrauch des undokumentierten Google-OAuth-Endpunktes Multilogin zur Reaktivierung abgelaufener Google-Sitzungscookies beruht nach Googles Einschätzung offenbar nicht auf einer Sicherheitslücke. Das berichtet Bleeping Computer(öffnet im neuen Fenster) unter Verweis auf mit der Angelegenheit vertraute Quellen, laut denen Google davon ausgeht, dass die API wie vorgesehen funktioniert.
Google selbst habe erklärt, das Unternehmen sei sich "der jüngsten Berichte über eine Malware-Familie bewusst, die Sitzungs-Token stiehlt" . Angriffe dieser Art seien jedoch nicht neu und der Konzern verbessere seine Verteidigungsmaßnahmen zum Schutze der Anwender regelmäßig. "In diesem Fall hat Google Maßnahmen ergriffen, um alle entdeckten kompromittierten Konten zu sichern" , so das Unternehmen.
Nutzer sollen kompromittierte Sitzungen aktiv abmelden
Sicherheitsforscher von CloudSEK warnten erst vor wenigen Tagen vor dem Missbrauch des Multilogin-Endpunktes. Durch gezielte Manipulation der an die API übergebenen Daten sei es Cyberkriminellen etwa möglich, abgelaufene Sitzungscookies für Google-Konten selbst dann zu reaktivieren, wenn die Zielperson ihr Passwort zurückgesetzt habe. Damit sei ein dauerhafter Zugriff auf die Google-Dienste des Opfers möglich.
Laut Bleeping Computer besteht Googles Lösung nun darin, dass Anwender kompromittierte Sitzungen über die Geräteverwaltung ihres Google-Kontos(öffnet im neuen Fenster) abmelden. Dadurch wird der im Besitz des Angreifers befindliche Refresh-Token für ungültig erklärt, so dass dieser von der API nicht mehr akzeptiert und kein neuer Sitzungstoken ausgestellt wird.
Zusätzlich empfiehlt Google betroffenen Nutzern, ihr Passwort zu ändern, ihren Computer auf Infektionen mit Schadsoftware zu untersuchen und diese gegebenenfalls zu entfernen sowie das erweiterte Safe Browsing(öffnet im neuen Fenster) in Chrome zu aktivieren, um sich vor weiteren Phishing- und Malware-Angriffen zu schützen.
Empfehlung erscheint lückenhaft
Die Empfehlung von Google hat jedoch einen Haken: Betroffene Anwender bemerken oftmals gar nichts davon, wenn ihre Zugangsdaten oder Sitzungscookies abgegriffen werden. Ein Angriff fällt häufig erst dann auf, wenn der Angreifer den Zugriff auf das Google-Konto bereits für böswillige Zwecke missbraucht hat. Und ohne das Wissen über einen solchen Datenabfluss dürften wohl die wenigsten Nutzer auf die Idee kommen, die Geräteverwaltung ihres Google-Kontos auf kompromittierte Sitzungen hin zu untersuchen.
Google hat von diesem API-Missbrauch betroffene Anwender zwar angeblich informiert, was mit zukünftigen Opfern passiert, bleibt aber unklar. Dass der Konzern den Multilogin-Endpunkt mit schützenden Einschränkungen versieht, wäre wünschenswert. Bisher hat sich Google aber wohl nicht bezüglich derartiger Pläne geäußert.