Je mehr etwas weltweit genutzt wird, desto stärker zieht es leider Kriminelle an und das gilt auch für den Digitalbereich. So besteht derzeit die Gefahr, dass das eigene Google-Konto ganz leicht den Besitzer wechseln könnte, wenn man Pech hat. Ursache soll dabei die Synchronisierungsfunktion sein.
Google-Konto: Cookies als Schwachstelle identifiziert
Der Exploit selbst machte bereits im Oktober 2023 die Runde, wie die Sicherheitsprofis von CloudSEK schreiben. Aber erst vor Kurzem konnte man auch die dazugehörige Sicherheitslücke identifizieren. Die bösartigen Akteure und Akteurinnen können abgelaufene Sitzungscookies wieder aktivieren.
Dies soll mit Hilfe sogenannter Token-Manipulation geschehen. Mit der Wiederherstellung können Kriminelle dann dauerhaften Zugang zu den entsprechenden Google-Konten ihrer jeweiligen Opfer erhalten. Das soll auch dann noch funktionieren, selbst wenn sie ihre Passwörter zuvor zurückgesetzt haben. Die Malware muss aber in jedem Fall vorher auf einen bestehenden Cookie zugreifen können.
Übrigens: Kannst du dich vielleicht gerade nicht bei deinem Google-Konto anmelden? Wir haben einige Tipps und Tricks, was du in dem Fall tun kannst.
Konto-Synchronisierung mit Schwachstelle
Der Exploit soll sich in mehreren verschiedenen Malwares befinden, darunter Rhadamanthys, Risepro, Meduza oder Lumma. Anhand von Letzterer konnte man per Reverse-Engineering die Funktionsweise herausfinden. Im Kern steht demzufolge ein Multilogin-Endpunkt, der bei der Synchronisierung des Google-Kontos über mehrere Dienste hinweg behilflich ist.
Dabei sorgt er für ein konstantes Nutzungserlebnis, indem das Browser-Konto stets mit Googles Authentifizierungs-Cookies übereinstimmen. Wie es weiter heißt, akzeptiere der Endpunkt einen Vektor bestehend aus Konto-IDs und Authentifizierungs-Tokens der Logins. Diese Daten sind unverzichtbar zum Beispiel für den nahtlosen Wechsel zwischen Profilen.
Genau diesen Endpunkt kann man aber gezielt durch die übermittelten Daten manipulieren, um so die Sitzungscookies neu zu erstellen. Dieser Vorgang könnte bei Lumma sogar verschlüsselt werden, was es schwieriger macht, den Angriff zu entdecken.
Google liefert Statement zur Gefahr
Wie Bleeping Computer ergänzend vermeldet, habe man bei Google in der Vergangenheit schon Sicherheitsvorkehrungen getroffen. Die Verantwortlichen hinter Lumma haben zum Beispiel ihre Malware mit Updates versorgt, die die Gegenmaßnahmen umgehen sollen.
Mittlerweile gibt es auch ein Statement zur Problematik mit Google-Konten. Darin teilte man mit, dass man sich der Angelegenheit bewusst sei, die übrigens so neu nicht ist. Man würde routinemäßig die Sicherheit auf den neuesten Stand bringen und die Situation weiter beobachten. Nutzerinnen und Nutzer sollen außerdem zusehen, dass sie Malwares von ihren Geräten entfernen.
Zusätzlich möchte man bei Google klarstellen, dass man, entgegen anderer Behauptungen und Berichte, gestohlene Tokens und Cookies sehr wohl widerrufen kann. Dazu solle man sich einfach „aus dem betroffenen Browser ausloggen oder den Vorgang über die eigene Geräteseite“ vorantreiben.
Quellen: CloudSEK, Bleeping Computer
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.