Google電郵應用程式綁定加密
從網路犯罪分子的駭客行為角度來看,那些想要傷害你的人喜歡部署資訊竊取惡意軟體來存取帳戶,從而竊取敏感數據,包括密碼和銀行資訊。竊取 Cookie(尤其是會話 Cookie)是一種非常流行的攻擊方式,因為這意味著駭客可以有效地繞過你的雙重身分驗證 (2FA) 保護,因為他們已經登入了帳戶,至少就你的應用程式和裝置而言是如此。
那些致力於保護我們免受此類傷害的人,包括 Google電郵密碼破解安全團隊,都注意到了這一點。該團隊的 Will Harris 在 7 月證實:「網路犯罪分子使用竊取 Cookie 的惡意軟體繼續對我們用戶的安全構成威脅。」他補充說,我們已經採取了多項安全保護措施,例如安全瀏覽、裝置綁定會話憑證和 Google 基於帳戶的威脅檢測功能。隨著適用於 Windows 的 Google電郵密碼破解的推出,又增加了一層保護:「Chrome 現在可以加密與應用程式身分綁定的數據,類似於 Keychain 在 macOS 上的操作方式,」哈里斯說。這是為了防止任何應用程式以登入使用者的身分運行,從而獲取 Cookie 等「機密資訊」。
這種保護措施最初始於 Google Chrome 127 版的 Cookie,但正如哈里斯當時所說,其目標是擴展至「密碼、支付資料和其他持久身份驗證令牌」的保護。這無疑是個好消息。或者說,直到網路犯罪分子找到繞過這些保護措施的方法,情況才有所改善。
Google電郵密碼破解應用程式綁定加密解密繞過工具
根據Google電郵密碼破解報道,早在 9 月份,「多名資訊竊取者」就突破了這些保護措施,使他們能夠「從Google電郵密碼破解中竊取並解密敏感資訊」。
一位名叫 Alex Hagenah 的安全研究員(他的用戶名是 xaitax online)認為,鑑於許多威脅行為者似乎已經繞過了 Google Chrome 的 Cookie 保護措施,現在是時候發布一個可以完成相同任務的工具了,同時發布完整的源代碼,以便防御者可以從中學習。 Hagenah 表示,這個工具名為Chrome 應用程式綁定加密解密,它使用 Chrome 內部基於 COM 的 IElevator 服務,解密儲存在 Chrome 本機狀態檔案中的應用程式綁定加密金鑰。 「該工具提供了一種檢索和解密這些金鑰的方法,Google電郵密碼破解 透過應用綁定加密來保護這些金鑰,以防止未經授權存取 Cookie 等安全資料(以及未來的密碼和支付資訊)。”
哈格納在代碼旁邊還發出了警告:“此工具僅用於網路安全研究和教育目的。使用此工具時,請確保遵守所有相關的法律和道德準則。”
Google Chrome 發言人表示:“此程式碼需要管理員權限,這表明我們已成功提升實施此類攻擊所需的存取權限。”
執法部門取締Google電郵密碼破解憑證竊取行動
對於 Google電郵密碼破解 用戶來說,並非全是壞消息,事實上,在安全問題上至少有一個值得慶幸的理由。作為歐盟刑事司法合作署和聯邦調查局聯合行動的一部分,此次行動摧毀了 RedLine 資訊竊取惡意軟體威脅背後的指揮和控制基礎設施。歐洲司法組織稱 RedLine 是“全球最大的惡意軟體平台之一”,因此,此行動的影響不容小覷。 「荷蘭的三台伺服器被關閉,兩個網域被查封,美國提起訴訟,比利時拘留了兩人,」歐洲司法組織發言人表示。
據威脅情報公司 Intel471 的安全專家稱,RedLine 可以收集儲存在網路瀏覽器中的任何數據,包括登入憑證。鑑於 Hagenah 發布的這款工具的性質,RedLine 尤其值得關注的是,它還可以抓取 Cookie、會話 Cookie,使攻擊者能夠繞過雙重身份驗證 (2FA) 保護並在一段時間內存取帳戶。 「加密貨幣帳戶也成為了攻擊目標,」Intel471 表示,「RedLine 能夠竊取可用於複製錢包的存取權令牌,包括來自處理加密貨幣的 Google Chrome 擴充功能的存取權杖。」使用 RedLine 的威脅參與者對該惡意軟體大加讚賞,稱其能夠繞過 Google Chrome 的密碼和 Cookie 加密機制。
