Hiába cserél jelszót, az sem hatja meg azt az új kártevőt, ami a Google-fiókjába lép be észrevétlenül

Hitelesítő sütiket lop, és azokkal visszaélve automatikusan tud belépni a Google-fiókunkba egy kártevő, melyet már hat rosszindulatú csoport is aktívan kihasználhat.

  • hvg.hu hvg.hu
Hiába cserél jelszót, az sem hatja meg azt az új kártevőt, ami a Google-fiókjába lép be észrevétlenül

Egészen komoly biztonsági résre derült fény, melynek kihasználásával illetéktelenek léphetnek be Google-fiókokba, még azután is, hogy annak jogos birtokosa megváltoztatta a jelszavát – erről ír a Bleeping Computer a CloudSEK and Hudson Rock kiberbiztonsági cégek nyomán.

A sérülékenység kiaknázásához szükséges egy MultiLogin nevű kártevő települése a számítógépre (fertőzött proramok telepítésével), mellyel már kinyerhetők és visszafejthetők a Chrome böngésző helyileg mentett bejelentkezési tokenjei. Konyhanyelven, a megszerzett adatokkal (hitelesítési sütikkel) visszaélve tud a rosszindulatú fél belépni a Google-fiókba, így annak jelszavára voltaképpen nincs is szüksége. A támadó egyszerűen újraengedélyezi ezeket a sütiket, és a felhasználó tudta nélkül tud belépni a fiókjába.

Az jelen pillanatban nem ismert, hogy a kétlépcsős azonosítás védelmet nyújt-e a veszély ellen. A kiberbiztonsági szakértők szerint ráadásul ez a folyamat többször is elvégezhető, mint már írtuk, a jelszó megváltoztatása után is.

Két hét múlva több tízmillió embernél átkapcsolják a Chrome böngészőt - mi változik annál, akit érint?

A célzott hirdetések maradnak, de a jövőben kevesebb adat kell a felhasználóról ezekhez - a Google 2024 elején elkezdi bevetni az új rendszerét, mely nagyobb biztonságot ígér.

Mint a Bleeping Computer kiemeli, számításaik szerint hat rosszindulatú csoport használja ki és értékesíti jelen pillanatban is ezt a sebezhetőséget, melyre először 2023 novemberében figyeltek fel.

Jelen pillanatban nincs biztos információ arra vonatkozóan, mikor javíthatja a Google a hibát, melyet csak úgy lehet elkerülni, hogy nem telepítünk ismeretlen szoftvereket a számítógépünkre. A kártevő ugyanis ezek fedélzetén érkezik meg, majd lép működésbe – azt pedig talán mondanunk sem kell, hogy a Google-fiókunkba belépve gyakorlatilag mindenhez hozzáférhet, a gmailes leveleinktől kezdve a Drive-ban tárolt fájljainkon át egészen a jegyzeteinkig.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.

Megszavazták a módosított költségvetést, de Budapest csak időt nyert, életet nem - közvetítésünk a Fővárosi Közgyűlés üléséről

Megszavazták a módosított költségvetést, de Budapest csak időt nyert, életet nem - közvetítésünk a Fővárosi Közgyűlés üléséről

A július 1-i határidő előtti utolsó pillanatban, a hétfői rendkívüli közgyűlésen dőlt el, hogy a fővárosi képviselők kiigazították a már korábban, konszenzussal elfogadott 2025-ös költségvetést, így van újra érvényes büdzséje a fővárosnak – év végéig. Ha nem így lett volna, durva korlátozásokkal és pénzügyi nehézségekkel járó állapotra kellett volna készülni.