هکرها راهی برای دسترسی غیرمجاز به حسابهای گوگل با دور زدن هر گونه احراز هویت چند عاملی (MFA) که کاربر ممکن است تنظیم کرده باشد، یافتهاند و کوکی های احراز هویت را برای انجام این کار ربوده و سپس طول عمر آنها را افزایش میدهند. حتی اگر صاحب اکانت رمز عبور خود را تغییر دهد، کمکی نخواهد کرد.
بسیاری از محققان امنیتی کلاه سفید و سیاه از زمان کشف و شناسایی این اکسپلویت، باگ مورد نظر را مورد بررسی و بحث قرار دادهاند. در نتیجه، این اکسپلویت اکنون برای ربایندگان اطلاعات مختلف ساخته شده است.
کوکی ها برای ردیابی کاربران در سراسر وب سایتها و به خاطر سپردن اطلاعات مربوط به بازدید آنها استفاده میشوند. کوکی های احراز هویت، در اصل دادههایی هستند که مرورگر برای شناسایی کاربر و بررسی اینکه آیا لاگین کردهاند یا خیر، به سایت ارسال میشوند. معمولاً این کوکیها دارای تاریخ انقضاء هستند و پس از آن از کاربر خواسته میشود که مجددا لاگین کند.
کوکیهای دائمی امکان تداوم دسترسی به سرویس گوگل را حتی پس از بازنشانی رمز عبور توسط کاربر را فراهم میآورند. این اکسپلویت با استفاده از یک رابط برنامه نویسی اپلیکیشن گوگل (API) که برای همگام سازی اکانتها در سرویسهای مختلف گوگل طراحی شده است، اجازه میدهد تا کوکیهای دائمی گوگل تولید و احراز هویت منقضی شده، معتبر گردد. اکانت گوگل، امکان دسترسی به سرویسهای گوگل مانند Gmail، Google Calendar و Google Maps، و همچنین Google Ads و YouTube را فراهم میآورد.
گوگل معتقد است، API همانطور که طراحی و در نظر گرفته شده است، فعالیت میکند و هیچ آسیب پذیری توسط بدافزار مورد سوء استفاده قرار نمیگیرد، و این بدان معنا میباشد که گوگل بر روی یک راه حل دائمیتر برای این مسئله فعالیت نمیکند.
بررسی دستگاهها
برای بررسی اینکه آیا شخصی به اکانت شما دسترسی داشته است یا خیر، میتوانید رایانه، تلفن همراه و یا سایر دستگاههایی را که اخیراً توسط آنها به اکانت گوگل وارد شدهاند، مشاهده کنید.
- وارد اکانت گوگل خود شوید.
- بخش ” Security” را در پنل پیمایش سمت چپ، انتخاب نمائید.
- در پنل فعلی، ” Manage all devices” را انتخاب کنید.
- شما در این بخش دستگاههایی را مشاهده میکنید که توسط آنها به اکانت گوگل خود وارد شدهاید. برای جزئیات بیشتر، یک دستگاه یا نشست را انتخاب کنید.
- دستگاهها یا نشستهایی که از سیستم خارج شدهاید دارای علامت خروج از سیستم ” Signed out” هستند.
- اگر چندین نشست برای یک نوع دستگاه ظاهر شود، ممکن است همه آنها در یک یا چند دستگاه باشند. جزئیات آنها را بررسی کنید و اگر مطمئن نیستید که همه نشستها از دستگاههای شما میباشند، از آنها خارج شوید.
اصلاح
اگر گمان میکنید که اکانت شما هک شده است، بایستی از تمامی مرورگرها خارج شوید تا توکنهای نشست فعلی را باطل نموده و سپس رمز عبور خود را بازنشانی کنید و در مرحله بعد میبایست مجددا لاگین کرده و توکنهای جدید ایجاد نمایید. این کار، فقط دسترسی غیرمجاز را متوقف میکند چرا که توکنهای قدیمی باطل میشوند.
مراحل ذکر شده در زیر برای admin است که اکانتهای گوگل را برای یک شرکت، مدرسه یا گروه دیگر مدیریت میکند. بهعنوان admin ، میتوانید یک کاربر را از اکانت گوگل مدیریت شده مانند Google Workspace یا Cloud Identity خارج کنید.
بازنشانی کوکیهای ورود به سیستم به شرح زیر است:
- وارد کنسول Google Admin خود شوید. با استفاده از اکانت administrator ، نه اکانت فعلی خود وارد سیستم شوید.
- در کنسول Admin به بخش Menu > Directory > Users بروید.
- در لیست Users، کاربر را پیدا کنید و اگر به کمک نیاز دارید، به بخش Find a user account مراجعه کنید.
- روی نام کاربر مورد نظرکلیک نمائید تا صفحه اکانت باز شود.
- بر روی Security > Sign-in cookies > Reset کلیک کنید.
گوگل در بیانیهای اذعان داشت که آنها به طور معمول دفاع خود را در برابر چنین تکنیکهایی ارتقا میدهند و کاربرانی را که قربانی بدافزار شدهاند، ایمن خواهند ساخت. در این مثال، گوگل برای ایمن سازی هر گونه اکانت هک و شناسایی شده، اقدام کرده است.
