Hitelesítő sütiket lop, és azokkal visszaélve automatikusan tud belépni a Google-fiókunkba egy kártevő, melyet már hat rosszindulatú csoport is aktívan kihasználhat.
Egészen komoly biztonsági résre derült fény, melynek kihasználásával illetéktelenek léphetnek be Google-fiókokba, még azután is, hogy annak jogos birtokosa megváltoztatta a jelszavát – erről ír a Bleeping Computer a CloudSEK and Hudson Rock kiberbiztonsági cégek nyomán.
A sérülékenység kiaknázásához szükséges egy MultiLogin nevű kártevő települése a számítógépre (fertőzött proramok telepítésével), mellyel már kinyerhetők és visszafejthetők a Chrome böngésző helyileg mentett bejelentkezési tokenjei. Konyhanyelven, a megszerzett adatokkal (hitelesítési sütikkel) visszaélve tud a rosszindulatú fél belépni a Google-fiókba, így annak jelszavára voltaképpen nincs is szüksége. A támadó egyszerűen újraengedélyezi ezeket a sütiket, és a felhasználó tudta nélkül tud belépni a fiókjába.
Az jelen pillanatban nem ismert, hogy a kétlépcsős azonosítás védelmet nyújt-e a veszély ellen. A kiberbiztonsági szakértők szerint ráadásul ez a folyamat többször is elvégezhető, mint már írtuk, a jelszó megváltoztatása után is.
Két hét múlva több tízmillió embernél átkapcsolják a Chrome böngészőt - mi változik annál, akit érint?
A célzott hirdetések maradnak, de a jövőben kevesebb adat kell a felhasználóról ezekhez - a Google 2024 elején elkezdi bevetni az új rendszerét, mely nagyobb biztonságot ígér.
Mint a Bleeping Computer kiemeli, számításaik szerint hat rosszindulatú csoport használja ki és értékesíti jelen pillanatban is ezt a sebezhetőséget, melyre először 2023 novemberében figyeltek fel.
Jelen pillanatban nincs biztos információ arra vonatkozóan, mikor javíthatja a Google a hibát, melyet csak úgy lehet elkerülni, hogy nem telepítünk ismeretlen szoftvereket a számítógépünkre. A kártevő ugyanis ezek fedélzetén érkezik meg, majd lép működésbe – azt pedig talán mondanunk sem kell, hogy a Google-fiókunkba belépve gyakorlatilag mindenhez hozzáférhet, a gmailes leveleinktől kezdve a Drive-ban tárolt fájljainkon át egészen a jegyzeteinkig.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
A július 1-i határidő előtti utolsó pillanatban, a hétfői rendkívüli közgyűlésen dőlt el, hogy a fővárosi képviselők kiigazították a már korábban, konszenzussal elfogadott 2025-ös költségvetést, így van újra érvényes büdzséje a fővárosnak – év végéig. Ha nem így lett volna, durva korlátozásokkal és pénzügyi nehézségekkel járó állapotra kellett volna készülni.
A rendelkezés alól csak olyan kiemelt cégek mentesülnek, mint a MÁV vagy az MVM.
Arról is beszélt, ha szemmel lehetne ölni, Brüsszelben egy sortűzzel elintézték volna.
A kormánypárt támogatottsága pedig mélyponton van.
Ha erre nincs jó válasz, a százezres menet csak színes emléknek lesz jó.
A volt vezérkari főnök azt mondta, jobb lenne, ha például a kézigránát-baleset miatt elrendelt vizsgálat eredményét tennék közzé végre.
A légitársaság szerint még este tíz óra előtt újra felszállhatnak.
