O data přijdete, aniž byste mohli něco dělat. Stačí jediné kliknutí a zdánlivě neškodný e-mail vymaže nevratně celý Google Disk
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Zpráva v e-mailu může představovat vážný problém. Nový způsob útoku dokáže během několika vteřin vymazat celý Google Disk, aniž by musel uživatel cokoli potvrdit.
Podvodníci začali zneužívat moderní asistenty v prohlížečích k tomu, aby z pouhé e-mailové zprávy spustili destruktivní akce. Jak redakce Mobify zaznamenala, stačí otevřít zdánlivě neškodný e-mail a asistent dostane instrukce, které mohou vést až k úplnému vymazání Google Disku, a to bez jakéhokoliv zásahu samotného uživatele.
Užitečný nástroj je i nebezpečným nepřítelem
Noví „agenti“, tedy asistenti integrovaní do některých moderních prohlížečů, mají za úkol automatizovat rutinní práci, například třídit maily, vyhledávat zprávy, čistit složky nebo manipulovat s uloženým obsahem. Fungují jednoduše: mají přístup do Gmailu i Google Disku a vykonávají příkazy napsané lidmi, vysvětluje theHackerNews.
Na první pohled to zní užitečně. Uživatel napíše třeba „prosím, vymaž z e-mailu spamy“ a agent se o to prostě postará. Jenže právě tato jeho ochota jen slepě následovat instrukce dané uživatelem vyzývá ke zneužití. Útočníkovi stačí, že pošle na první pohled normální e-mail, který však obsahuje přesné instrukce pro „úklid“, a to konečný.
Dostane-li příkaz, začne mazat. Nepřemýšlí
Za nás je velkým problémem způsob, jakým agent vyhodnocuje úkoly. Pokud e-mail obsahuje formulace typu „odstraň nepotřebné soubory“ nebo „postarej se o to“, asistent je pochopí jako legitimní. Automaticky tedy smaže soubory podle daných kritérií, například všechny dokumenty mimo složky, všechny soubory s vybranými příponami, nebo dokonce celý obsah. Ale...
Jakmile se asistent pustí do mazání, může se destrukce rozšířit i do dalších sdílených složek, společných souborů či pracovních projektů. Zasažen tak může být kromě soukromého i firemní obsah, sdílené dokumenty i archivované projekty. Pokud si uživatel ničeho nevšimne do 30 dnů od smazání, data už neobnoví.
Navíc se nejedná o žádné hackování v pravém slova smyslu. Útočník nemusí probourávat žádná hesla ani neobchází dvoufázové ověření. Využívá jenom toho, že má asistent přístup do soukromí uživatele přes OAuth (tj. otevřený protokol, uvádí Wikipedia) a jeho úkolem je pomáhat, a ne přemýšlet. Bohužel, právě tato zdvořilost a automatizace jsou největší slabinou.
Jak se proti „chytrým“ asistentům chránit
- Vypněte nebo omezte přístup prohlížečových asistentů – pokud je nepoužíváte, odpojte je od Gmailu a Google Disku v nastavení účtu.
- Neklikejte bezmyšlenkovitě na e-maily – útočníci dnes nepoužívají jen agresivní phishing. Naopak, staví kolikrát na slušnostních formulacích.
- Sledujte, jaké služby mají přístup přes OAuth – v nastavení Google účtu můžete kdykoli zrušit práva aplikacím, které již nepoužíváte.
- Nezadávejte asistentovi nejasné či obecné příkazy – formulace jako „postarej se o to“ mohou být interpretovány hodně široce.
- Zvažte dvoufázovou ochranu u všech zařízení a pravidelné zálohy mimo Google Disk
Modernizace a různé vychytávky zkrátka přináší i rizika, která podvodníci vždycky objeví. Ani dlouho existující pomocníci nejsou bez slabin, a ani aktualizace nepodchytí vše. Jak se vyvíjí technologie, souměrně se vyvíjí metody útočníků.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky theHackerNews