Google-accounts ook na aanpassen wachtwoord via cookie-aanval te kapen

[Captain Kirk]

Criminelen hebben een manier gevonden waardoor ze via gegevens die van een besmette computer zijn gestolen op Google-accounts kunnen inloggen, ook al heeft de eigenaar het wachtwoord inmiddels aangepast. Google is over de methode ingelicht, maar doet niets om het probleem te verhelpen, zo melden securitybedrijven Hudson Rock en CloudSek in twee blogposting en YouTube-video.

Er zijn allerlei malware-exemplaren die inloggegevens zoals wachtwoorden en cookies van besmette computers stelen. Gebruikers wordt in dergelijke scenario's aangeraden om na ontdekking van de malware die eerst te verwijderen en dan voor alle accounts een nieuw wachtwoord in te stellen. De makers van de Lumma-malware, een infostealer die allerlei inloggegevens steelt, hebben echter een manier gevonden waardoor ze ook na een dergelijke wachtwoordreset nog steeds toegang tot accounts hebben. Hiervoor moet de malware, voordat die verwijderd wordt, eerst tokens en account-ID's uit Google Chrome zien te stelen.

Met de gestolen gegevens is het mogelijk om Google-servicecookies opnieuw te genereren en daarmee toegang tot het account van het slachtoffer te krijgen, ook al heeft die in de tussentijd zijn wachtwoord gewijzigd. Inmiddels maken meerdere malware-exemplaren gebruik van deze methode. "Google-cookies die niet verlopen en zelfs werken wanneer het accountwachtwoord is gewijzigd, een gigantisch voordeel voor cybercriminelen en Google doet niets", zegt Alon Gal van Hudson Rock, die stelt dat hij Google al in oktober heeft gewaarschuwd.

 

bron: https://www.security.nl