Стало відомо, як Google Chrome допомагає хакерам викрадати конфіденційні дані користувачів

Спеціалісти з безпеки повідомили, як хакери зловживають незадокументованим API Google Chrome для крадіжки даних користувачів. Фахівці компанії CloudSEK виявили, що шкідливі програми використовують API Google OAuth «MultiLogin» для створення нових робочих cookie-файлів автентифікації, коли термін дії вихідних вкрадених cookie-файлів Google жертви спливає.

API Google OAuth «MultiLogin» призначений для синхронізації облікових записів різних сервісів Google. Шкідливі програми крадуть автентифікаційні куки для сайтів Google та спеціальний токен, який може використовуватися для оновлення або створення нових автентифікаційних токенів. Фахівцям не вдалося дізнатися більше про це API у Google, а єдину документацію можна знайти у вихідному коді Google Chrome.

Google у своїй заяві підтвердила поінформованість про ситуацію, проте ставиться до проблеми як до звичайної крадіжки cookies через шкідливе ПЗ. Фахівці компанії запевнили, що Google регулярно оновлює свої захисні механізми.

Користувачам порадили вийти зі свого облікового запису Chrome та анулювати всі активні сесії через меню «Мої пристрої». Це зробить токен Refresh недійсним для використання з API. Крім того, Google рекомендує змінити пароль, особливо якщо він використовувався на інших сайтах.

Зауважимо — три з чотирьох найпопулярніших сайтів у світі не відповідають мінімальним стандартам безпеки, що дозволяє десяткам мільйонів користувачів створювати слабкі паролі. Ці висновки є частиною листопадового дослідження Джорджійського технологічного інституту з кібербезпеки, яке вивчає поточний стан політики паролів в інтернеті.