Компания BleepingComputer обнаружила серьёзную уязвимость в связи с файлами куки. Вредоносная программа умеет извлекать эти файлы из браузера Chrome и позволяет получить доступ к учётной записи Google даже после смены пароля.
Для использования уязвимости программа должна быть установлена на компьютер с целью извлечения и дешифровки токенов входа из локальной базы данных браузера Chrome. Они применяются для отправки запросов в Google API, которые Chrome обычно применяет для синхронизации аккаунтов на разных сервисах Google и создания «стабильных и постоянных файлов куки Google». Эти файлы нужны для авторизации и доступа к аккаунту. Неизвестно, защищает ли от них двухфакторная аутентификация.
Внедрение ключа из файлов даёт возможность повторно выполнить авторизацию посредством файлов куки, что будет работать даже после смены пароля. Подобную процедуру можно выполнять многократно и жертва не узнает об этом. Даже если сбросить пароль от аккаунта Google, злоумышленники смогут применять этот метод для входа в него.
BleepingComputer сообщает, что шесть групп вредоносных приложений используют эту уязвимость и продают её. Впервые её применили в середине ноября. Также злоумышленники якобы обновили эксплоит, чтобы противостоять предпринятым Google мерам защиты.
