Flask (Python) - Google oAuth 2.0 (Authlib)
구글은 수요일의 영리한 이메일 피싱 계획을 중단 시켰지만, 공격은 매우 성공적으로 회생 할 수있다.
한 보안 연구원은 구글이 사용자를 그러한 공격으로부터 보호하려고 시도해도 이미 그것을 복제 할 수 있었다.
"It 대비 보안의 보안 연구 책임자 인 매트 오스틴 (Matt Austin)은 다음과 같이 덧붙였습니다.
[추가 정보 : Windows PC에서 악성 코드 제거 방법]피싱 계획은 1 백만 Gmail 사용자는 Google 문서 도구처럼 보이는 어리석은 앱으로 사용자를 속 였기 때문에 특히 효과적입니다.
이메일을받은 수신자는 "문서에서 열기"라는 파란색 상자를 클릭하도록 초대되었습니다. 실제 Googl e 계정 페이지로 이동하여 거짓 액세스로 Gmail 액세스를 넘겨 줄 것을 요청했습니다.
스푸핑 된 이메일을 사용하는 사용자를 속일 수는 없지만 수요일의 공격에는 실제 Google 프로세스로 만든 타사 앱이 포함됩니다. 이 회사의 개발자 플랫폼을 사용하면 누구나 웹 기반 앱을 만들 수 있습니다.
이 경우 범인은 사용자를 속이기 위해 앱 이름을 Google 문서 도구로 지정했습니다.
검색 회사에서 공격을 종료했습니다. 앱을 제거하면 또한 다른 개발자가 타사 앱을 명명 할 때 "Google"을 사용하지 못하게했습니다.
하지만 오스틴은 수요일의 피싱 방식을 계속 재현 할 수 있음을 발견했습니다. 그는 검색 회사의 개발자 플랫폼을 사용하여 자신의 타사 앱을 만들고이를 "Google 문서 도구"라고도했습니다.
보안 연구원 Matt Austin은 키릴 문자를 사용하여 수요일 피싱 공격을 재현했습니다.
오스틴은 러시아에서 사용 된 키릴 문자를 자신의 앱 이름에 사용했습니다.
"키릴 문자 o는 다른 문자 o와 똑같습니다."라고 오스틴은 말했습니다. 그런 다음 수요일 공격의 나머지 부분을 복제하여 동일한 디자인 인터페이스를 사용하는 가짜 전자 메일을 작성했습니다.
오스틴은 보안 문제를 Google에 제출했으며 현재 개발자 플랫폼은 더 이상 해당 이름의 앱을 허용하지 않습니다. 시스코 클라우드 록 사이버 랩 (Serber Cloudlock Cyberlabs) 보안 이사 인 아이즈 카야 (Ayse Kaya)는 "악의적 인 행위자들이 수요일의 공격을 복제하려고 노력하고있다"고 말했다. "아마도 더 자주 일어날 것입니다."
보다 전통적인 피싱 전자 메일 체계는 사용자가 속임수로 로그인 자격 증명을 포기하도록하여 공격 할 수 있습니다. 그러나 수요일의 공격은 다른 접근 방법을 취하며 OAuth 프로토콜로 알려져 있으며 인터넷 계정이 타사 응용 프로그램과 연결하는 편리한 방법입니다.
OAuth를 통해 사용자는 암호 정보를 넘겨 줄 필요가 없습니다. 대신에 타사 앱이 Google, Facebook, Twitter 등의 인터넷 계정에 연결할 수 있도록 권한을 부여합니다.
하지만 어떤 기술과 마찬가지로 OAuth도 악용 될 수 있습니다. 2011 년에 한 개발자는 프로토콜이 Google 서비스를 가장하는 앱의 피싱 공격에 사용될 수 있다고 경고했습니다.
그럼에도 불구하고 OAuth는 IT 전반에서 널리 사용되는 표준이되었습니다. CloudLock은 276,000 개 이상의 앱이 Google, Facebook 및 Microsoft Office 365와 같은 서비스를 통해 프로토콜을 사용함을 발견했습니다.
수요일의 피싱 구성을 지원 한 이유는 Google의 자체 서비스가 의심스러운 개발자로부터 온 것이라고 지적 할만큼 충분하지 못했다고 기업에서 OAuth를 구현하는 데 도움을주는 IT 컨설턴트 인 Aaron Parecki
예를 들어 가짜 Google 문서 도구 앱은 [email protected]의 개발자에게 등록되었습니다. 그러나 Parecki는 사용자가 페이지를 클릭하여 찾아내는 경우를 제외하고는 Google의 자체 계정 권한 페이지가 개발자 정보를 분명히 표시하지 않았기 때문에 가짜 앱은 여전히 사용자를 속일 수 있다고 전했다.Cloudlock
가짜 Google 문서 도구 앱의 개발자는 제품 정보에 마우스를 올리면 나타납니다.
"구글이이 앱으로 많은 정보를 제공하지 않는다는 사실에 놀랐다"고 그는 말했다. "이것은 잘못 될 수있는 좋은 예입니다."라고 Parecki는 말했고, 그러한 세부 사항을 숨기지 않고 모든 것을 사용자에게 보여 주어야한다고 말했습니다.
"아직 OAuth가 싫어하는 악 대차에 있지 않습니다. 나는 그것을 가치 있다고 생각한다 "고 오스틴은 말했다. "그러나 일부 위험 요소가 있습니다."다행히도 Google은 수요일의 공격을 신속하게 막을 수 있었고, 다시 발생하지 않도록 "악용 방지 시스템"을 도입했습니다. 영향을받은 사용자는 Google 보안 검사를 통해 자신의 계정에 연결된 앱을 검토 할 수 있습니다.
Gmail의 Android 앱은 피싱 시도 가능성에 대해 사용자에게 경고하는 새로운 보안 기능을 도입했습니다.
앱을 설치하고 안전하다고 가정합니다. 그러나 사용자와 기업은 타사 앱에 계정을 연결할 때 신중해야합니다. 타사 앱은 필요한 것보다 더 많은 액세스를 요구할 수 있습니다.
"해커들은이 공격에 착수했습니다. "모든 회사는 이것에 대해 생각할 필요가 있습니다."
Eyefi는 일부 카드 소유자를 좌초시켜 IoT 위험 요소를 강조합니다.
이전 Eyefi 네트워크 카드는 다음 IoT 장치가되어
Google 문서 도구 피싱 공격은 OAuth 보안 위험 요소를 강조합니다.
Google은 수요일의 영리한 이메일 피싱 계획을 중단했지만 공격으로 인해 다시 복귀 할 수 있습니다.
