Prema navodima bezbjednosne kompanije CloudSEK, haker pod pseudonimom PRISMA se pohvalio moćnom zero-day eksploatacijom i razvijanjem sofisticiranog rješenja za generisanje upornih Google kolačića.

Ovo omogućava pristup Google nalogu čak i nakon resetovanja lozinke, što je direktna posledica manipulacije tokenom OAuth2 (Open Authorization 2.0).

Predstavljena tehnika pokazuje viši nivo sofisticiranosti i razumijevanja Google-ovih internih mehanizama autentifikacije, a "još alarmantnija je činjenica da ova eksploatacija ostaje efikasna čak i nakon što korisnici resetuju svoje lozinke. Ova istrajnost u pristupu omogućava dugoročnu i potencijalno neotkrivenu eksploataciju korisničkih naloga i podataka", zaključio je CloudSEK tim.

Haker koji je otkrio ovu ranjivost izrazio je otvorenost za saradnju, što je olakšalo CloudSEK-u da razume problem i sprovede tehničku analizu.

Reverznim inženjeringom izvršne datoteke za eksploataciju, koju je obezbijedio originalni autor, otkrivena je specifična krajnja tačka uključena u eksploataciju.

U saopštenju se navodi da je njihov tim za istraživanje prijetnji, koristeći HUMINT i tehničku analizu, identifikovao korijen ove prijetnje u nedokumentovanoj krajnjoj tački Google Oauth pod nazivom "MultiLogin".

(B92)