Waspada, Malware Baru Tetap Masuk ke Akun Google Biarpun Reset Kata Sandi

Jika Anda menggunakan layanan Google, raksasa pencarian ini memiliki pengaruh dalam banyak bagian kehidupan digital Anda.

Untuk membantu Anda tetap terhubung, Google menyinkronkan data Anda di seluruh layanannya.

Para peneliti keamanan melaporkan fitur ini telah dimanfaatkan oleh pelaku ancaman, yang telah menciptakan metode untuk tetap masuk ke dalam akun Google yang dicuri bahkan jika sandi diubah, mengutip extremetech.com.

Layanan sinkronisasi Google bergantung pada titik akhir OAuth yang tidak didokumentasikan, yang dikenal sebagai MultiLogin.

Pada Oktober tahun lalu, seorang peretas yang dikenal sebagai PRISMA memamerkan metode ini di Telegram.

Sejak itu, metode ini ditemukan dalam beberapa klien perangkat lunak pencuri data berupa malware-as-a-service, termasuk Lumma, RisePro, dan WhiteSnake.

Ketika Anda masuk ke Chrome, browser menyimpan token yang membuatnya tetap masuk.

Mencuri token masuk adalah tujuan umum malware, karena memungkinkan penyerang mengakses akun Anda tanpa mengetahui sandi.

Baca juga: Pentingnya Uji Tahan Cuaca dalam Industri Tekstil

Ternyata, MultiLogin Google membuat cookie masuk menjadi target yang lebih menarik. Perusahaan keamanan CloudSEK berhasil merancang kembali varian baru malware pencuri Lumma untuk lebih memahami bagaimana pelaku ancaman memanfaatkan MultiLogin.

Titik akhir MultiLogin dapat memperbarui token otentikasi sesuai kebutuhan. Inilah cara Anda, misalnya, mengubah sandi Google tanpa keluar dari semua sesi Anda. Token tersebut hanya diperbaharui di mesin Anda dari sepasang token yang disebut ID GAIA dan encrypted_token.

Anda seharusnya hanya dapat melakukannya sekali, tetapi teknik PRISMA memungkinkan token diperbaharui secara tak terbatas.

Google menyadari serangan ini, tetapi tidak bisa mematikan titik akhir MultiLogin begitu saja. Perusahaan tersebut mengatakan akun yang terkena dampak yang terdeteksi telah dipulihkan, dan terus meningkatkan pertahanannya untuk membuat serangan-serangan ini lebih sulit.

Penting untuk dicatat bahwa ini bukanlah kerentanan yang berdiri sendiri. Penyerang masih perlu mendapatkan akses ke mesin melalui eksploitasi dan mengeluarkan data yang diperlukan.

Jika penjahat online memiliki akses seperti itu ke perangkat Anda, akun Google yang kompromi hanya satu dari banyak kekhawatiran. Sebagian besar alat malware-as-a-service ini dapat lebih cepat menghasilkan keuntungan dengan mencuri dompet kripto.

Meskipun pelaku ancaman yang menggunakan metode ini dapat tetap memiliki akses bahkan setelah Anda mengubah sandi, ada cara mudah untuk mengunci mereka keluar.

Pengaturan akun Google memiliki daftar semua sesi yang saat ini masuk. Dari sana, Anda dapat memutuskan secara manual apa pun, termasuk hacker yang memiliki token Anda.

Anda juga dapat menggunakan panel perangkat untuk keluar dari semua perangkat, hanya untuk berjaga-jaga.

Baca juga: Penelitian: Hampir Separuh Remaja Merasa Kecanduan Medsos

Tinggalkan komentar