Le malware récupère les cookies pour s'introduire dans votre compte Google [U]

Une grave vulnérabilité liée aux cookies, impliquant en premier lieu les pirates de l'air malveillants Chrome, semble permettre l'accès aux comptes Google même après avoir modifié les mots de passe.

Mis à jour le 01/02/24: Google a publié aujourd'hui une réponse au malware de jeton de session. La société affirme avoir « pris les mesures nécessaires pour sécuriser tous les comptes compromis découverts » et que la manière de lutter contre les sessions volées consiste à se déconnecter du navigateur ou de l’appareil concerné.

Google a connaissance de rapports récents faisant état d'une famille de logiciels malveillants qui vole des jetons de session. Les attaques impliquant des logiciels malveillants qui volent des cookies et du code ne sont pas nouvelles ; Nous améliorons régulièrement nos défenses contre ces technologies et pour sécuriser les utilisateurs victimes de logiciels malveillants. Dans ce cas, Google a pris des mesures pour sécuriser tous les comptes compromis découverts.

Cependant, il est important de noter qu’il existe une idée fausse dans les rapports selon laquelle les jetons et cookies volés ne peuvent pas être révoqués par l’utilisateur. Ceci est incorrect, car les sessions volées peuvent être révoquées en se déconnectant simplement du navigateur concerné, ou révoquées à distance via le compte utilisateur. Page Appareils. Nous continuerons de surveiller la situation et de fournir des mises à jour si nécessaire.

En attendant, les utilisateurs doivent constamment prendre les mesures nécessaires Supprimez tout malware Depuis leurs ordinateurs, nous recommandons d'exécuter Navigation sécurisée améliorée Dans Chrome pour vous protéger contre les téléchargements de phishing et les logiciels malveillants.

Original 29/12/23: Cela dépend BipOrdinateur Et en écrivant Propulsé par CloudSEK et Hudson Rock. À un niveau élevé, cette vulnérabilité nécessite l'installation d'un logiciel malveillant sur le bureau afin « d'extraire et de déchiffrer les jetons de connexion stockés dans la base de données locale de Google Chrome ».

Ce qui est obtenu est ensuite utilisé pour envoyer une requête à l'API Google – que Chrome utilise généralement pour synchroniser les comptes entre différents services Google – et créer des « cookies Google persistants et persistants » responsables de l'authentification qui peuvent être utilisés pour accéder à votre compte. Dans ce cas, il n’est pas clair si l’authentification à deux facteurs offre une protection.

Essentiellement, la saisie de la clé à partir des fichiers de récupération permet de réautoriser les cookies, garantissant ainsi leur validité même après la modification du mot de passe.

Ce qui est encore plus inquiétant, c'est que ce processus de « récupération » peut être répété plusieurs fois si la victime ne se rend jamais compte qu'elle a été piratée. Le pire, c'est que même après avoir réinitialisé le mot de passe de votre compte Google, cet exploit peut être à nouveau utilisé par le mauvais acteur pour accéder à votre compte.

Plusieurs familles de malwares, dont six BipOrdinateur Comptez, accédez à cette vulnérabilité et vendez-la. Cet exploit a été annoncé pour la première fois à la mi-novembre. Notamment, certains de ces acteurs affirment avoir déjà mis à jour cette vulnérabilité pour lutter contre les contre-mesures mises en œuvre par Google.

Nous avons contacté Google pour plus d'informations. Concernant les mesures immédiates que vous pouvez prendre, n'installez pas de logiciel dont vous ne connaissez pas l'existence (car il pourrait s'agir d'un malware).

Kyle Bradshaw a contribué à ce message.