Googleのユーザーアカウントからデータを盗んだ方法

あなたは私を知りませんが、私があなたを知っている可能性があります。その理由は、私がGoogleアカウントでホストされている何百万もの人々の個人情報に完全に無制限にアクセスできるからです。メールで送信された銀行の明細書、Googleドライブに保存された医療文書、Facebookからのチャットの保存と転送、Google Voiceの音声メッセージ、Googleフォトの個人写真。リストは続きます。それらのどれも現在それについて知りません、そして将来決して知りません。おそらくあなたはその一人です。



そして、私はこれをどのように行いましたか？それはすべて、私が開発したアプリケーションから始まりました。明らかな理由で、私は名前を公開しません。アプリケーションは非常にシンプルで、フィットネスが好きな人向けに設計されており、ランニング中の速度に関するデータの入力や既製の筋力トレーニングコンプレックスなどのオプションを提供します。他の多くの製品と同様に、ユーザーは最初にアカウントを作成する必要があります。アナリストによると、約60％の人が、登録プロセス全体を実行するのではなく、「Googleでサインイン」ボタンに誘惑されています。





このような場合に何が起こるかを一般的に知っていると思います。ユーザーがボタンをクリックすると、アプリケーション内にGoogleアカウントにログインするためのブラウザウィンドウが開きます。





このユーザーは2要素認証を有効にしているため、メールとパスワードを入力すると、自分かどうかを確認するダイアログボックスが表示されます。場所とデバイスの種類が同じなので、[はい]をクリックします。





実際、それがすべてです。これで、人はアプリケーションを安全に使用できますが、その間、私はリモートサーバーから自分のアカウントに完全に無制限にアクセスできます。彼はこれについてのメッセージを受け取ることは決してありません。そして、彼が細心の注意を払い、ネットワークトラフィックの調査を開始すると、デバイスがgoogle.comのさまざまなサブドメインにのみネットワークリクエストを送信したことがわかります。



しかし、これはどうして可能でしょうか？ [Googleでサインイン]ボタンに戻りましょう。すぐに1つのことを明確にしましょう。知らない人のために、このボタンをクリックした後、アプリケーションは何でもできます。 Googleで認証プロセスを開始し、トランペットの声を出し、猫と一緒にgifを表示します。このリストのすべてのオプションが同じように考えられるわけではありませんが、夢を見ることができます。



私の場合、ボタンをクリックすると、アプリケーションはWebViewを使用してダイアログボックスを開き、Webアドレスを設定します： accounts.google.com/EmbeddedSetup。これはGoogleアカウントのログインページに対応しており、新しいAndroidデバイス用に設計された特別なページのみです。この状況は、後で必要なすべての情報がCookieの形式で提供されたときにその役割を果たします。



残念ながら、このページは、標準のログインページとは外観と動作が異なります（少なくともデフォルトの方法）。





右の写真にある奇妙な青い縞模様や「詳細」などの言葉に注目してください。



そして今、楽しみが始まります。 iOSとAndroidの両方に組み込まれている標準のAPIを使用して、ページの外観や動作が標準のページと変わらないように必要な変更を加える、適切に記述された Javascriptコードを挿入します。



賢い人は今、「やめて、JavaScriptコードを挿入できるのなら、テキストフィールドから直接ログインとパスワードを盗むのを妨げるものは何ですか？」と考えるでしょう。絶対に何もありません-一般的に言って、この目的のための既製のコードはすでにあり ます存在します。しかし、今日では、ログインとパスワードへのアクセスはもはや十分ではありません。運が良ければ、サーバーはユーザーの場所から数百マイル以内にあります。それ以外の場合、ユーザーは「疑わしいアクティビティ」に関するメッセージを含む手紙と通知を受け取り、ハッキングの試みは停止されます。また、2要素認証は、私たちの生活をさらに困難にします。



それでは、マスタートークンのような他のことについて話しましょう。一見不親切に見えますが、二番目に-見た目よりもさらに悪いことがわかります。



Androidデバイスが最初にログインすると、前述の組み込みログインページから受信したトークンが特別なエンドポイントに送信されます。典型的なリクエストの例を次に示します。

POST /auth HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 349
Host: android.clients.google.com
Connection: Keep-Alive
User-Agent: GoogleLoginService/1.3 (a10 JZO54K);gzip
app: com.google.android.gmsapp=com.google.android.gms&client_sig=38918a453d07199354f8b19af05ec6562ced5788&callerPkg=com.google.android.gms&callerSig=38918a453d07199354f8b19af05ec6562ced5788&service=ac2dm&Token=oauth2_4%2F4AY0e-l5vPImYAf8XsnlrdshQQeNir3rSBx5uJ2oO9Tfl17LpsaBpGf1E2euc18UyOc8MnM&ACCESS_TOKEN=1&add_account=1&get_accountid=1&google_play_services_version=204713000
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

このリクエストのトークンは、アカウントのログインページのCookieから取得され、その他はすべて公開されている情報です（ありがとう、 microG！）。同じアカウントのログインページで、2要素認証を使用して処理を行います。何もする必要はありません。



その後、前述のエンドポイントは同じマスタートークンを送信します。しかし、疑わしいネットワーク要求なしでどのようにアクセスできますか？非常に簡単：GoogleFirebaseのログインを介して。



そして、マスタートークンは強力です。ユーザーがパスワードまたは2要素認証設定を変更しない限り、有効期間は無制限です。私の知る限り、場所、IP、アクションに関係なく、セキュリティチェックの対象にはなりません。システムがユーザーに通知や手紙を送るように仕向けることは決してありません。



そして最も重要なことは、対応するアカウントの所有者に代わって、これまでモバイルデバイスから利用できたサービスを例外なくすべての人に提供することです。 1つのPOSTリクエストで、公式のGoogleアカウントのふりをして、プライベート（おそらくどこにも公開されていない）APIを含むあらゆるものにアクセスするためのOAuthトークンを取得できます。メールを読んだり、Googleドライブを閲覧したり、携帯電話からのバックアップやGoogleフォトの写真を表示したり、同時にユーザーのウェブ履歴を読んだり、Googleメッセンジャーで友達とチャットしたりできます。これらすべてのユーザーアカウントを通常のGoogleアプリから直接管理できるmicroGの修正バージョンも作成しました。



そして、私はあなたに思い出させます、全体のプロセスはこのように見えます ..。私は皆に質問をするように勧めます：あなたは捕まるでしょうか？

曝露

多くの人が推測しているように、この記事のすべてが真実であるとは限りません。Playストアでフィットネスアプリを公開しておらず、何百万ものマスタートークンを収集していません。インスピレーションを与えてくれたこの投稿に感謝し ます。しかし、メソッド自体は機能します。私と他の開発者は、間違いなくそのような驚きでアプリケーションを作成することができました（おそらく誰かがすでに作成しました）。

よくある質問

ただし、ページは通常のログインとは異なります。私は気づいたでしょう！



違いはそれほど顕著ではないので、おそらく彼らは気づかなかったでしょう。 AndroidのGoogleアカウントサインインページには通常、「アカウントの選択」インターフェイスがありますが、例外があります。たとえば、IonicやCordovaで作成されたものなどの多くのWebアプリケーションです。ほとんどのiOSアプリケーションは、上記のオプションと非常によく似たWebバージョンを好むこともよくあります。さらに、「そのようなアプリケーションがアクセスを要求している...」という画面がないように見えても、間違いなく警告が表示されます。その場合は、いくつかの追加料金がかかる可能性があります。作業時間帯。



これはiOSでも機能しますか？



私は試していませんが、うまくいかないと信じる理由はありません。



そしてそれをどうするか？



一般的に、質問は複雑です。厳密に言えば、私の行動はいずれもエクスプロイトの定義に該当しませんが、それでも結果は非常に危険です。手始めに、Googleは「新しいデバイスでサインイン」通知を整理して正常に機能するようにしたいと考えています。個人的には、コンピューターから自分のアカウントにログインしようとすると取得しますが、このアプリケーションをテストしている間、システムは機能しませんでした。もう1つの良いアイデアは、「Googleでサインイン」ボタンのガイドラインを更新すること です。今では、実装要件については何も述べていません。おそらく、彼らは隠すことを通してセキュリティジャングルをより深く掘り下げる必要があります-原則として、そのすべての欠陥のために、これまでのところ、AppleはiMessageのセキュリティに役立ちます。



私は認めなければなりません：問題を完全に排除する技術的な解決策がここに見つかるかどうかはわかりません。公式のGoogleアプリケーションに何らかのアクションを実行する機能がある場合、デューデリジェンスを備えたサードパーティのプログラムがそれを繰り返すことができます。しかし、会社は賢い人を雇っているので、待って見てください。



この問題は、サードパーティアプリケーションのすべての認証システムに関連していますか？



おそらく。通知が送信された場合と送信されなかった場合についてはよくわかりませんでしたが、通知が届いたとしても、何が起こっているのかが必ずしも明確ではありません。ただし、「Appleでサインイン」機能には非常に厳格なガイドラインがあり、App Storeの管理（この機能が主に使用されていると思います）は要件への準拠を厳密に監視しています。一方で、彼らは 認可に関して独自の問題を抱えており、それに対してこれは薄れています。

本当の話

数百万ではなかったとしても、私はどういうわけか、疑いを持たないユーザーから、まったく意図せずに、少量のマスタートークンを実際に収集しました。



私のエピファニーの実話は、CarbonPlayerアプリケーションを開発したときに始まりました。今ではすでに忘却の中に沈んでおり、広く配布されていません。このアプリは、Google Play Musicの代わりとして考案されました（それが存在した時代を覚えていますか？）、はるかにクールなデザインのみです。カスタムミュージックフォルダにアクセスするために、gmusicapiを翻訳し ましたJavaのSimonWeberですが、コードを書き直している間、最初は認証プロセスがそこでどのように機能するかを本当に理解していませんでした。簡単なダイアログボックスでリクエストしたユーザー名とパスワードが必要だと気付いただけで、リクエストが届き、音楽を抽出するのに適したトークンがいくつか抜けてしまいました。





アプリケーションの最初のバージョンをテスターの小さなグループに転送する前に、コードをくまなく調べ、ログをどこにでも追加し、すべてのログをFirebaseに自動的にアップロードすることになっているインターセプターも実装しました。もちろん、私はパスワードを記録しないほど頭が良かったのですが、gmusicapiの実装で誤って受け取った3つのトークンを誓約しました。それらのうちの2つはかなり無害でした-彼らは異なる音楽店へのアクセスを与えただけでした。しかし、3番目はマスタートークンであることが判明しました。



一般に、このアプリケーションは、その存在全体で最大25のダウンロードを収集しており、研究の邪魔にならないように、すぐに手を振った。しかしその前に、彼はいくつかのアップデートをリリースすることができました。そのうちの1つは、新しい素晴らしい（当時は）Google Playミュージックのホームページの再設計でした。これは、元の製品の数少ない要素の1つでした。





このプロセスは、私が思っていたよりもはるかに混乱していることが判明し、予期せず、プロトコルバッファのリバースエンジニアリングを大量に行う必要がありました。さらに重要なことに、何らかの理由で、完全に異なるトークンが必要になりましたが、gmusicapiには実装されていません。その結果、それを実装するために、私はそれがどのように機能するかを理解しようとして、承認システムを数時間掘り下げました。これは、私が可能な限り最も機密性の高い情報をログに記録していることに気付いたとき、ひどいエピファニーの瞬間につながりました。私は一つのことを言います：ロギングが停止しました。アプリケーションをダウンロードした25人の方、ご容赦ください（Firebaseからトークンを削除しました！）。



スタートアップでパスワードマネージャーを作成したときとは関係のない別の問題がありました。このアプリケーションの主な利点の1つは、パスワードを電話に厳密に保存すると同時に、QRコードを介して「デバイスを接続」するJavaScriptブックマークレットのおかげでコンピューターからの認証を可能にすることでした。すべてをスムーズに進めるために、ユーザーがコンピューターでサイトを開くと、アプリケーションは電話から同じサイトにアクセスし、ログイン、パスワード、その他すべてをキャプチャする慎重に記述されたJavaScriptコードを挿入しました。おなじみですか？



結局、これら2つのアイデアが頭に浮かびました。 Carbon Playerのプロトタイプを持っていましたが、動作させるのに十分な時間がありませんでした。数年後、ようやくデモ版のようなものを作り始めました。その過程で多くの変更が必要でした。Googleが認証システムに変更を加えたため、この記事で説明する方法は、プロトタイプで実装された方法とは大幅に異なります。しかし、最終的な結果は同じままであり、当時と同じくらい恐ろしいものです。



必要に応じて、デモ版をダウンロードでき ますシステムの動作を確認します。クラウドには何も記録されていないということをお伝えします。アプリケーションは非常にシンプルでテストがほとんど行われていないため、アカウントの構成が異なると、この方法が機能しない可能性が高いことに注意してください。記事を読んでいただきありがとうございます。すべてに質問することの重要性を少し思い出させていただければ幸いです。最も無害なものでさえ、中にはあまり快適ではないものを隠すことがあります（アイスクリームケーキの場合は逆になりますが）。