Im Zuge von Medienberichten und einer Analyse von Sicherheitsforschern zu Token-Klau per Malware hat Google reagiert. Der Internetkonzern hat auf die Bedenken reagiert und betont. Dass Angriffe mit Malware » die Cookies & Tokens stehlen « nicht neu seien. Gleichzeitig gibt Google an, dass sie regelmäßig die eigenen Abwehrmechanismen gegen derartige Techniken optimieren. Dabei versucht Google offenbar; besorgte Nutzer zu beruhigen und ihnen Sicherheit zu bieten.
Lumma: Ein Infostealer mit neuen Methoden
Der Infostealer Lumma erneuert gestohlene Zugangs-Tokens durch undokumentierte API-Aufrufe und ermöglicht damit nicht nur einen langwährenden Zugriff auf das Google-Konto des Opfers. Das Besorgniserregende an diesem Verfahren ist, dass selbst nach einem Passwort-Reset immer noch Zugriff auf das Google-Konto besteht, warnen die CloudSEK-Forscher. Diese Vorgehensweise nährt Zweifel an Googles Aussagen, dass die eigenen Schutzmechanismen ausreichend seien.
Google betont, dass Nutzer die eine Malware-Infektion befürchten, mit einem einfachen Mittel den Zugang zu ihrem Google-Konto abstellen können. Es reicht laut Google aus; den betroffenen Browser aus dem Konto abzumelden. Darüber hinaus können Nutzer über die Geräteverwaltung im Google-Konto alle derzeit angemeldeten Geräte, Apps & Drittanwendungen überprüfen und deaktivieren.
Gegenmaßnahmen und Stand der Technik
Jedoch liegt es nahe, dass bei einer Passwort-Änderung ebenfalls die Authentifizierungs-Token abgewertet werden sollten um eine neue Anmeldung mit dem neuen Passwort zu erzwingen. Andernfalls könnten Angreifer auch nach dem Passwort-Reset Zugriff auf das Konto des Opfers erlangen. Bereits vor fast 15 Jahren warnte heise Security vor dieser Problematik und forderte entsprechende Gegenmaßnahmen an. Andere Dienste setzen mittlerweile Maßnahmen automatisch um, während Google in diesem Bereich hinterher zu sein scheint.
Mittlerweile implementieren mindestens sechs Malware-Varianten (Lumma, Rhadamanthys, Stealc, Medusa, RisePro & Whitesnake) eine Methode zum Missbrauch von Tokens. Diese nutzen eine undokumentierte OAuth-Funktion in Googles Account-API um Login-Tokens zu verlängern oder mithilfe eines von der Malware ferngesteuerten Chrome-Browsers neu zu erstellen. Die gestohlenen Tokens können dann von Kriminellen zum Missbrauch des Google-Kontos verwendet werden.
Schutzmaßnahmen und Ausblick
Google betont: Die Sicherheit der Nutzer oberste Priorität hat und dass sie weiterhin hart daran arbeiten die Sicherheitsmaßnahmen zu verbessern & Nutzer vor derartigen Angriffen zu schützen. Dabei ist es wichtig, dass Nutzer selbst auch proaktiv handeln und regelmäßig ihre Geräte Anwendungen und Aktivitäten überprüfen um sicherzustellen dass keine unberechtigten Zugriffe auf ihre Konten erfolgen.
Es bleibt jedoch zu hoffen, dass Google in Zukunft automatische Maßnahmen implementiert um die Sicherheit der Konten noch weiter zu erhöhen & Nutzer noch besser vor derartigen Angriffen zu schützen. Letztendlich ist eine umfassende Sensibilisierung und Aufklärung der Nutzer im Umgang mit Malware und der Sicherheit ihrer Online-Konten unerlässlich um die Gefahren zu minimieren.
Kommentare