GhostToken 零日漏洞：尽享无需移除的 Google 帐户访问

关键要点

• “GhostToken” 零日漏洞允许攻击者通过将授权的第三方应用转变为恶意木马，获得对受害者 Google 帐户的不可移除访问。
• 攻击者能够隐藏其恶意应用，受害者无法在应用管理页面中查看和撤销访问权限。
• 该漏洞可能影响到所有 Google 帐户，包括 Google Workspace 的 30 亿用户。
• Google 已于 4 月 7 日发布补丁，修复了该漏洞。

近日，安全研究组 Astrix 发布了一篇
，讨论了一种名为“GhostToken”的零日漏洞，攻击者利用此漏洞可以通过将授权的第三方应用程序转换为恶意木马，获得对受害者 Google帐户的永久性访问。这一漏洞让受害者的个人数据处于永久曝光的风险中。

根据 Astrix 的研究，攻击者可以利用 GhostToken 隐藏他们的恶意应用，使其在受害者的 Google 账户
中不可见。而该页面是 Google用户唯一能够查看和撤销应用权限的地方，这使得恶意应用无法被从 Google 账户中移除。

与此同时，攻击者可以使用在接管受害者帐户时获得的刷新令牌访问该帐户，然后再次隐藏该应用，以恢复它的不可移除状态。由于这些应用对受害者不可见，受害者对此毫不知情。他们甚至不知道自己的帐户已被黑，而即使想到这个问题，他们唯一能做的就是创建一个新的
Google 帐户。

Astrix 的研究人员指出，任何

账户都有可能成为 GhostToken 的攻击目标，这一漏洞的严重性在于其影响范围广泛，包括 Google Workspace 的 30亿用户。Astrix 于 2022 年 6 月 19 日首次发布了 GhostToken 零日漏洞的消息，而 Google 则在本月的 4 月 7日发布了修复补丁。根据 Astrix 与 Google 的协调，该补丁的内容包括将处于“待删除”状态的 OAuth 应用令牌加入用户的应用管理屏幕中。

虽然安全研究人员可以将这一新发现视为一种“已知攻击技术”，但 Vulcan Cyber 的高级技术工程师 Mike Parkin提到，漏洞利用的功能已经存在了一段时间。

“这与 并无直接关系。”
Parkin 说，“这是一个关于 Google生态系统如何处理第三方授权的问题，已经获得纠正。关于‘永久和不可移除’的说法有些夸张，因为修复显而易见且容易实现。”

当然，依据受害者赋予恶意应用的权限，攻击者可能能够读取受害者在 Gmail 中的私人通信，访问 Google Drive 和 Google Photos中的个人文件，查看 Google 日历中的计划事件，通过 Google Maps 跟踪受害者的位置，并获得对受害者 Google CloudPlatform 服务的访问权。

Inversion6 的首席信息安全官 Craig Burland 表示，Astrix的披露应促使网络安全团队更加关注云安全，特别是第三方集成。Burland指出，云生态系统提供了丰富的集成方式，它可增强或添加功能：从简单的数据合并到全面的分析，只需几次点击。

“但这种便捷也带来另一面的问题，”Burland 说。“网络安全团队在有效管理第三方风险时面临着挑战，因为组织间往往相互扔出 300个问题的调查，以求自救。云集成绕过了所有的治理，直接触及核心，提升了生产力，但同时也引入了风险。那么，谁来检查与你的云应用集成了什么？谁来查看授予了哪些权利和权限？哪些个人数据已被暴露？”