To je shema lažnega predstavljanja, ki je ne bo odpravila niti večvrstna avtentikacija in spreminjanje gesla.

V sredo se je v Gmailu razširil množični napad na Google Dokumente, ki je ukradel osebne račune in se poslal na sezname stikov žrtev. Google je hitro zaustavil napad, ki je prizadel približno 0, 1 odstotka uporabnikov Gmaila.

Tudi pri tako nizkem številu, kjer je približno 1 milijardo uporabnikov Gmaila, je še vedno vsaj 1 milijon ljudi ogroženih. Tipično odkrivanje lažnega predstavljanja, ki ga Gmail ponuja, ga ne more blokirati, ker napadom žrtvam ni bilo treba vnesti svojih gesel.

Prevarantstvo se je oprlo na izkoriščanje OAuth, redko shemo, ki se je v sredo izpostavila svetu. OAuth, ki pomeni Odprto avtorizacijo, omogoča aplikacijam in storitvam "pogovor" med seboj brez vpisovanja v vaše račune. Razmislite o tem, kako lahko vaš Amazon Alexa odčita vaše dogodke v Google Koledarju ali kako lahko vaši prijatelji na Facebooku vidijo, katero pesem poslušate na Spotify. V zadnjih treh letih so aplikacije, ki uporabljajo OAuth, glede na Cisco Cloudlock skočile s 5.500 na 276.000.

"Zdaj, ko je ta tehnika splošno znana, bo verjetno predstavljala velik problem - obstaja veliko spletnih storitev, ki uporabljajo OAuth in jim je težko v celoti preveriti vse aplikacije tretjih oseb, " je povedal Greg Martin, Direktor podjetja Jask, ki je odgovoren za kibernetsko varnost, v elektronski pošti.

Kako se je izkoriščanje Google Dokumentov razlikovalo od običajnih napadov z lažnim predstavljanjem?

Običajen phishing napad napolni spletno stran, ki vas želi prevarati, da vtipkate svoje geslo, pošljete občutljive informacije tatu ali ga vnesete v bazo podatkov.

Z izkoriščanjem OAuth, kot v primeru prevare z Google Dokumenti, je mogoče račune ugrabiti, ne da bi uporabnik karkoli vnesel. V programu Google Dokumenti je napadalec ustvaril ponarejeno različico Google Dokumentov in zaprosil za dovoljenje za branje, pisanje in dostop do e-poštnih sporočil žrtve.

Če odobrite dovoljenje za izkoriščanje OAuth, ste slabemu dostopu dejansko dali dostop do računa brez gesla.

Zakaj ne morem preprosto spremeniti gesla?

OAuth ne deluje prek gesel, deluje prek oznak dovoljenj. Če je geslo ključ, ki zaklene vrata vašega računa, je OAuth vratar, ki ima ključe in ki je prevaran, da vnaša drugim osebam.

Morali bi preklicati dovoljenja, da bi izsilili vsiljivce.

Zakaj multifaktorsko preverjanje pristnosti ne ustavi izkoriščanja OAuth?

Multifaktorsko preverjanje pristnosti deluje tako, da vas pozove, da vnesete varnostno kodo, ko se poskusite prijaviti z geslom.

Tudi v tem izkoriščanju gesla niso vstopna točka. Torej, ko hekerji uporabljajo OAuthove izkoriščanja, jim ni treba vnesti gesla - žrtev, ki je bila preklicana v dovoljenje, je že storila.

"V skladu s Ciscovimi raziskavami samim aplikacijam ni treba imeti drugega faktorja, ko uporabnik odobri dovoljenja."

Torej, kaj naj naredim, če sem padel na podobno Gmailovo phishing prevara?

Na srečo je popravilo lažje obravnavati, kot če bi padli za standardno phishing izkoriščanje. V Googlovem primeru lahko dovoljenja prekličete tako, da obiščete //myaccount.google.com/permissions. Če je ponarejena aplikacija izklopljena, kot je storil Google s hoaxom Google Docs, bo dovoljenje tudi samodejno preklicano.

Za druge storitve, ki uporabljajo OAuth, morda ne bo tako preprosto. Večina storitev, ki se zanašajo na OAuth, bo imela stran, na kateri lahko upravljate svoja dovoljenja, na primer stran aplikacije Twitter. V napravah s sistemom Android 6.0 lahko v nastavitvah prekličete dovoljenja za Upravitelja aplikacij.

Na žalost je na stotine tisočih aplikacij, ki uporabljajo OAuth, in večina ljudi nima dovolj časa, da bi zanje našla vse strani z dovoljenji.

CNET Magazine: Oglejte si vzorčne zgodbe, ki jih boste našli v izdaji časopisa CNET.

To je zapleteno: To je datiranje v starosti aplikacij. Zabava? Te zgodbe pridejo v središče zadeve.