谷歌云平台现“鬼魂漏洞”，能让恶意软件隐身

据Dark Reading 4月21日消息，鬼魂漏洞谷歌云平台 (GCP) 被曝存在一个安全漏洞，谷歌可能允许网络攻击者在受害者的云平隐身谷歌帐户中隐藏不可删除的恶意应用程序 。

这个被称为“GhostToken”的台现漏洞是由 Astrix 安全研究人员发现并报告，根据该团队 4 月 20 日发布的恶意分析，恶意程序之所以进行隐藏，软件是模板下载鬼魂漏洞为了进一步读取受害者的 Gmail 帐户
 、访问 Google Drive 和 Google Photos 中的谷歌文件 、查看 Google 日历以及通过谷歌地图跟踪位置 ，云平隐身有了这些信息，台现攻击者就可以设计出极具迷惑性的恶意网络钓鱼攻击 。

除此之外，软件攻击者还可能从Google Drive 中删除文件
，鬼魂漏洞从受害者的建站模板谷歌 Gmail 帐户中写入电子邮件以执行社会工程攻击
，从 Google Calendar 、云平隐身Photos 或 Docs 中敏感数据，等等。

如鬼魂般的恶意程序

谷歌云平台是谷歌所提供的一套公有云计算服务 。该平台包括一系列在 Google 硬件上运行的用于计算、存储和应用程序开发的香港云服务器托管服务，也包括为最终用户托管各类应用程序
，这些应用程序与其他应用程序生态系统一样 ，可通过谷歌应用市场下载。一旦用户授权下载，应用程序就会在后台收到一个令牌，根据应用程序请求的权限授予相应的Google 帐户访问权限 
。

但利用GhostToken 漏洞，网络攻击者可以制作一个恶意应用程序，服务器租用将其植入到应用程序商店，伪装成合法的实用程序或服务。一旦用户下载并安装，便会隐藏在受害者的谷歌账户申请管理页面中，并无法从谷歌帐户中删除。此外 ，攻击者可以随时取消对恶意程序的隐藏状态，让其使用令牌访问受害者的源码库帐户  ，然后再次隐藏并恢复成不可删除的状态
。

Astrix 的研究员表示，这个特定的漏洞允许网络攻击者一方面访问组织的 GCP 环境，另一方面也可以访问个人 的Google Photos 和电子邮件帐户，从而对企业和个人构成严重的亿华云信息安全风险  。

很赞哦!（14）