Backdoor negli account Google: cos'è GhostToken

L’autenticazione mediante protocollo OAuth permette di utilizzare tanti servizi online senza dover preventivamente registrare un nuovo account. Soggetti come Google, Microsoft, Meta-Facebook, Apple e così via assumono il ruolo di “intermediari” che certificano l’identità di ciascun utente.

Il protocollo OAuth può essere utilizzato anche per collegare app di terze parti con il proprio account utente: l’applicazione chiede l’autorizzazione per accedere a una o più tipologie di dati contenute nell’account. Senza mai inserire username e password del proprio account, è così possibile fare in modo che un’applicazione sviluppata da terzi possa utilizzare una parte delle informazioni gestite, ad esempio, con l’account Google personale o aziendale (Workspace).

Cos’è un token di autenticazione

Un token di autenticazione è una forma di credenziale o chiave che viene utilizzata per verificare l’identità di un utente o  di un’applicazione. Viene utilizzato per dimostrare che l’entità che richiede l’accesso a una risorsa o a un servizio è legittima e ha l’autorizzazione appropriata per farlo.

Quando un’entità si autentica con successo, viene emesso un token di autenticazione che può presentarsi, dal punto di vista tecnico, in varie forme: token di sessione e token di accesso, token JWT (JSON Web Token), token OAuth, a seconda del sistema di autenticazione utilizzato.

I token di autenticazione sono progettati per essere unici e segreti, in modo che solo l’entità autenticata abbia accesso al token e possa utilizzarlo per accedere alle risorse autorizzate. L’uso di token di autenticazione permette di evitare la condivisione diretta di credenziali di accesso sensibili, come le password, riducendo così il rischio di esposizione a potenziali minacce di sicurezza.

Un token OAuth è un tipo di token di autenticazione utilizzato per autorizzare l’accesso a risorse online protette: come abbiamo visto in precedenza, offre un modo sicuro per consentire a un’applicazione di terze parti di accedere a risorse protette dell’utente senza condividere direttamente le credenziali di accesso con l’applicazione stessa.

Va detto che anche i token OAuth possono essere rubati: è quindi essenziale proteggere i propri dispositivi ed evitare che codice malevolo venga in qualche modo eseguito sugli stessi.

Cos’è il problema di sicurezza GhostToken sugli account Google

A giugno 2022, l’israeliana Astrix Security ha segnalato un problema di sicurezza che interessava tutti gli account Google: i ricercatori si sono accorti che i criminali informatici potevano nascondere le loro applicazioni malevole dalla lista App con accesso al tuo account. Ogni volta che un’applicazione di terze parti chiede di accedere al contenuto dell’account Google via OAuth, viene mostrata una schermata di conferma. Da qui l’utente può accettare o rifiutare la condivisione delle informazioni ivi riportate.

Presentando un’app come legittima quando in realtà non lo è, gli aggressori possono ottenerne il collegamento agli account degli utenti: è un approccio noto e utilizzato da tempo.

La differenza è che sfruttando una falla di sicurezza insita nella piattaforma Google Cloud Platform (GCP), i criminali informatici potevano attivare una sorta di backdoor sugli account delle vittime. Una volta collegata l’app malevola, infatti, questa non appariva nella lista delle App con accesso al tuo account già vista in precedenza. Ecco perché il problema di sicurezza è stato battezzato GhostToken: gli aggressori possono infatti vantare un “token fantasma” sugli account degli utenti presi di mira.

Per nascondere le app dannose autorizzate dalle vittime, gli aggressori dovevano solo farle entrare nello stato “in attesa di eliminazione“, eliminando il corrispondente progetto GCP. Così facendo, gli aggressori potevano spiare gli utenti Google privandoli della possibilità di sbarazzarsi dell’applicazione malevola.

Astrix ha confermato che Google ha finalmente risolto il problema di sicurezza ad aprile 2023 proteggendo tutti gli account degli utenti, privati e business. Il consiglio, a questo punto, è verificare con regolarità il contenuto della pagina App con accesso al tuo account di ciascun account utente Google in proprio possesso eliminando eventuali applicazioni inutilizzate, sconosciute o sospette.