Cyberthreat.id - Peneliti keamanan siber telah mengungkap detail kelemahan zero-day yang sekarang telah ditambal di Google Cloud Platform (GCP). Startup keamanan siber Israel Astrix Security menjulukinya GhostToken alias Token Hantu.

Menurut The Hacker News, GhostToken itu ditemukan dan dilaporkan ke Google pada 19 Juni 2022. Google menerapkan tambalan global lebih dari sembilan bulan kemudian pada 7 April 2023.

Dilaporkan, pada kelemahan tersebut pelaku ancaman dapat menyembunyikan aplikasi jahat yang tidak dapat dihapus di dalam akun Google korban. Bahkan disebutkan, kekurangan ini memengaruhi semua akun Google, termasuk akun Workspace yang berfokus pada perusahaan.

"Penyerang mendapatkan akses permanen dan tidak dapat dihapus ke akun Google korban dengan mengubah aplikasi pihak ketiga yang sudah diotorisasi menjadi aplikasi trojan jahat, membuat data pribadi korban terbuka selamanya," kata Astrix dalam sebuah laporan sebagaimana dilaporkan The Hacker News.

Penyerang menyembunyikan aplikasi berbahaya mereka dari halaman manajemen aplikasi akun Google korban, sehingga secara efektif mencegah pengguna mencabut aksesnya.  Si penyerang menghapus project GCP yang terkait dengan aplikasi OAuth yang diotorisasi, menyebabkannya dalam status "pending deletion". 

Pelaku ancaman, dipersenjatai dengan kemampuan ini, kemudian dapat menyembunyikan aplikasi nakal dengan memulihkan proyek dan menggunakan token akses untuk mendapatkan data korban, dan membuatnya tidak terlihat lagi. "Dengan kata lain, penyerang menyimpan token 'hantu' ke akun korban," kata Astrix.

Jenis data yang dapat diakses bergantung pada izin yang diberikan kepada aplikasi, yang dapat disalahgunakan oleh musuh untuk menghapus file dari Google Drive, menulis email atas nama korban untuk melakukan serangan rekayasa sosial, melacak lokasi, dan mengekstraksi data sensitif dari Google Kalender, Drive, Foto, dan aplikasi lainnya.

"Korban mungkin tanpa sadar mengotorisasi akses ke aplikasi berbahaya tersebut dengan memasang aplikasi yang tampaknya tidak berbahaya dari Google Marketplace atau salah satu dari banyak alat produktivitas yang tersedia secara online," tambah Astrix.

Tambalan Google mengatasi masalah dengan menampilkan aplikasi yang berada dalam status penghapusan tertunda pada halaman akses pihak ketiga, memungkinkan pengguna untuk mencabut izin yang diberikan untuk aplikasi tersebut.

Pengembangan tersebut dilakukan saat Google Cloud memperbaiki kelemahan eskalasi hak istimewa di Cloud Asset Inventory API yang dijuluki Asset Key Thief yang dapat dieksploitasi untuk mencuri kunci pribadi Akun Layanan yang dikelola pengguna dan mendapatkan akses ke data berharga. 

Masalah yang ditemukan oleh SADA awal Februari ini telah ditambal oleh raksasa teknologi tersebut pada 14 Maret 2023.[]