據(jù)Dark Reading 4月21日消息，谷歌云平臺 (GCP) 被曝存在一個安全漏洞，可能允許網(wǎng)絡(luò)攻擊者在受害者的谷歌帳戶中隱藏不可刪除的惡意應(yīng)用程序。

這個被稱為“GhostToken”的漏洞是由 Astrix 安全研究人員發(fā)現(xiàn)并報告，根據(jù)該團隊 4 月 20 日發(fā)布的分析，惡意程序之所以進行隱藏，是為了進一步讀取受害者的 Gmail 帳戶、訪問 Google Drive 和 Google Photos 中的文件、查看 Google 日歷以及通過谷歌地圖跟蹤位置，有了這些信息，攻擊者就可以設(shè)計出極具迷惑性的網(wǎng)絡(luò)釣魚攻擊。

除此之外，攻擊者還可能從Google Drive 中刪除文件，從受害者的 Gmail 帳戶中寫入電子郵件以執(zhí)行社會工程攻擊，從 Google Calendar、Photos 或 Docs 中敏感數(shù)據(jù)，等等。

如鬼魂般的惡意程序

谷歌云平臺是谷歌所提供的一套公有云計算服務(wù)。該平臺包括一系列在 Google 硬件上運行的用于計算、存儲和應(yīng)用程序開發(fā)的托管服務(wù)，也包括為最終用戶托管各類應(yīng)用程序，這些應(yīng)用程序與其他應(yīng)用程序生態(tài)系統(tǒng)一樣，可通過谷歌應(yīng)用市場下載。一旦用戶授權(quán)下載，應(yīng)用程序就會在后臺收到一個令牌，根據(jù)應(yīng)用程序請求的權(quán)限授予相應(yīng)的Google 帳戶訪問權(quán)限。

但利用GhostToken 漏洞，網(wǎng)絡(luò)攻擊者可以制作一個惡意應(yīng)用程序，將其植入到應(yīng)用程序商店，偽裝成合法的實用程序或服務(wù)。一旦用戶下載并安裝，便會隱藏在受害者的谷歌賬戶申請管理頁面中，并無法從谷歌帳戶中刪除。此外，攻擊者可以隨時取消對惡意程序的隱藏狀態(tài)，讓其使用令牌訪問受害者的帳戶，然后再次隱藏并恢復(fù)成不可刪除的狀態(tài)。

Astrix 的研究員表示，這個特定的漏洞允許網(wǎng)絡(luò)攻擊者一方面訪問組織的 GCP 環(huán)境，另一方面也可以訪問個人 的Google Photos 和電子郵件帳戶，從而對企業(yè)和個人構(gòu)成嚴(yán)重的信息安全風(fēng)險。