سرقت کوکی‌ های احراز هویت توسط بدافزار به منظور دسترسی دائمی به اکانت گوگل

هکرها راهی برای دسترسی غیرمجاز به حساب‌های گوگل با دور زدن هر گونه احراز هویت چند عاملی (MFA) که کاربر ممکن است تنظیم کرده باشد، یافته‌اند و کوکی‌ های احراز هویت را برای انجام این کار ربوده و سپس طول عمر آنها را افزایش می‌دهند. حتی اگر صاحب اکانت رمز عبور خود را تغییر دهد، کمکی نخواهد کرد.

بسیاری از محققان امنیتی کلاه سفید و سیاه  از زمان کشف و شناسایی این اکسپلویت، باگ مورد نظر را مورد بررسی و بحث قرار داده‌اند. در نتیجه، این اکسپلویت اکنون برای ربایندگان اطلاعات مختلف ساخته شده است.

کوکی‌‌ ها برای ردیابی کاربران در سراسر وب سایت‌ها و به خاطر سپردن اطلاعات مربوط به بازدید آنها استفاده می‌شوند. کوکی‌ های احراز هویت، در اصل داده‌هایی هستند که مرورگر برای شناسایی کاربر و بررسی اینکه آیا لاگین کرده‌اند یا خیر، به سایت ارسال می‌شوند. معمولاً این کوکی‌ها دارای تاریخ انقضاء هستند و پس از آن از کاربر خواسته می‌شود که مجددا لاگین کند.

کوکی‌های دائمی امکان تداوم دسترسی به سرویس گوگل را حتی پس از بازنشانی رمز عبور توسط کاربر را فراهم می‌آورند. این اکسپلویت با استفاده از یک رابط برنامه نویسی اپلیکیشن گوگل (API) که برای همگام سازی اکانت‌ها در سرویس‌های مختلف گوگل طراحی شده است، اجازه می‌دهد تا کوکی‌های دائمی گوگل تولید و احراز هویت منقضی شده، معتبر گردد. اکانت گوگل، امکان دسترسی به سرویس‌های گوگل مانند Gmail، Google Calendar و Google Maps، و همچنین Google Ads و YouTube را فراهم می‌آورد.

گوگل معتقد است، API همانطور که طراحی و در نظر گرفته شده است، فعالیت می‌کند و هیچ آسیب پذیری توسط بدافزار مورد سوء استفاده قرار نمی‌گیرد، و این بدان معنا می‌باشد که گوگل بر روی یک راه حل دائمی‌تر برای این مسئله فعالیت نمی‌کند.

بررسی دستگاه‌ها

برای بررسی اینکه آیا شخصی به اکانت شما دسترسی داشته است یا خیر، می‌توانید رایانه، تلفن همراه و یا سایر دستگاه‌هایی را که اخیراً توسط آنها به اکانت گوگل وارد شده‌اند، مشاهده کنید.

1. وارد اکانت گوگل خود شوید.
2. بخش ” Security” را در پنل پیمایش سمت چپ، انتخاب نمائید.
3. در پنل فعلی، ” Manage all devices” را انتخاب کنید.
4. شما در این بخش دستگاه‌هایی را مشاهده می‌کنید که توسط آنها به اکانت گوگل خود وارد شده‌اید. برای جزئیات بیشتر، یک دستگاه یا نشست را انتخاب کنید.
5. دستگاه‌ها یا نشست‌هایی که از سیستم خارج شده‌اید دارای علامت خروج از سیستم ” Signed out” هستند.
6. اگر چندین نشست برای یک نوع دستگاه ظاهر شود، ممکن است همه آنها در یک یا چند دستگاه باشند. جزئیات آن‌ها را بررسی کنید و اگر مطمئن نیستید که همه نشست‌ها از دستگاه‌های شما می‌باشند، از آن‌ها خارج شوید.

اصلاح

اگر گمان می‌کنید که اکانت شما هک شده است، بایستی از تمامی مرورگرها خارج شوید تا توکن‌های نشست فعلی را باطل نموده و سپس رمز عبور خود را بازنشانی کنید و در مرحله بعد می‌بایست مجددا لاگین کرده و توکن‌های جدید ایجاد نمایید. این کار، فقط دسترسی غیرمجاز را متوقف می‌کند چرا که توکن‌های قدیمی باطل می‌شوند.

مراحل ذکر شده در زیر برای admin است که اکانت‌های گوگل را برای یک شرکت، مدرسه یا گروه دیگر مدیریت می‌کند. به‌عنوان admin ، می‌توانید یک کاربر را از اکانت گوگل مدیریت ‌شده مانند Google Workspace یا Cloud Identity خارج کنید.

بازنشانی کوکی‌های ورود به سیستم به شرح زیر است:

1. وارد کنسول Google Admin خود شوید. با استفاده از اکانت administrator ، نه اکانت فعلی خود وارد سیستم شوید.
2. در کنسول Admin به بخش Menu > Directory > Users بروید.
3. در لیست Users، کاربر را پیدا کنید و اگر به کمک نیاز دارید، به بخش Find a user account مراجعه کنید.
4. روی نام کاربر مورد نظرکلیک نمائید تا صفحه اکانت باز شود.
5. بر روی Security > Sign-in cookies > Reset کلیک کنید.

گوگل در بیانیه‌ای اذعان داشت که آنها به طور معمول دفاع خود را در برابر چنین تکنیک‌هایی ارتقا می‌دهند و کاربرانی را که قربانی بدافزار شده‌اند، ایمن خواهند ساخت. در این مثال، گوگل برای ایمن سازی هر گونه اکانت هک و شناسایی شده، اقدام کرده است.