卡巴斯基实验室的一项调查发现了一种新的黑客技术,它使用谷歌分析来窃取信用卡号、用户代理、IP 地址、密码……基本上所有东西。
这不是 Google Analytics 本身的漏洞利用。
黑客正在利用所有浏览器赋予谷歌分析的可信状态,通过使用谷歌分析作为传输数据的一种方式,从被黑网站窃取信息。
根据卡巴斯基实验室:
“……我们发现了该服务被滥用的几个案例:攻击者将恶意代码注入网站,收集用户输入的所有数据,然后通过 Analytics 发送。 因此,攻击者可以访问他们 Google Analytics 帐户中被盗的数据。”
卡巴斯基的报告指出,该漏洞正在窃取与受影响网站共享的所有内容,包括信用卡信息,但大概也意味着密码信息。
“……脚本收集任何人在网站上输入的所有内容(以及有关输入数据的用户的信息:IP 地址、用户代理、时区)。
使用 Google Analytics Measurement Protocol 对收集的数据进行加密和发送。”
该漏洞利用显然窃取了密码、姓名和地址、信用卡甚至共享信息的人的个人信息中的“一切”。
漏洞利用方式
一个站点首先必须是可利用的,这意味着它使用易受攻击的软件运行,允许攻击者获得控制权。
一旦网站遭到入侵,攻击者就会上传代码,这些代码会窃取用户在网站上共享的信息,例如密码和信用卡号码。
谷歌分析用于窃取信用卡
Google Analytics 是 Google 提供的一款免费软件,用于帮助发布商衡量从其他网站到自己网站的流量。 谷歌分析是网站所有者了解网站访问者如何与其网站互动的方式。
它通常用于跟踪与广告相关的流量,以了解活动在何处产生的收入超过了用于广告的支出。
攻击者窃取用户信息的方式是将自己的谷歌分析代码添加到网站中,利用谷歌分析将代码发送给他们。
内容安全策略标头缺陷
安全标头是一种保护网站免受跨站点脚本和脚本注入等攻击的方法,以帮助阻止数据盗窃攻击。
这些安全标头之一称为内容安全策略 (CSP) 标头。
CSP 标头告诉浏览器可以信任哪些域来下载脚本。 这可以防止黑客将病毒从另一个网站下载到网站访问者的浏览器上。
根据 The Hacker News 的一篇报道,CSP 标头中的缺陷在于,在使用 Google Analytics 的网站上,Google Analytics 在 CSP 中被指定为受信任的脚本来源。
因此,由于 Google Analytics 是受信任的来源,黑客能够将自己的 Google Analytics 代码添加到网站并绕过内容安全协议。
内容安全策略无能为力。
开发者模式伪装
黑客正在做的一件古怪的事情是在浏览器处于开发者模式时隐藏代码。 据推测,黑客假设网站发布者将在发布者的浏览器处于开发者模式时检查他们的网站是否存在恶意代码。
如果您正在检查您的网站以查看是否存在问题,请确保您的浏览器未处于开发人员模式。
你应该做什么
了解您的网站是否受到此黑客攻击的一种方法是检查您的网站上是否存在多个 Google Analytics(分析)代码。
如果一个站点的谷歌分析代码被完全替换,那么就会注意到这一点,因为分析器将报告没有流量。
删除流氓分析代码是不够的。 如果该代码存在,那么这可能意味着该站点上存在允许攻击者首先放置流氓代码的潜在漏洞。
引文
卡巴斯基实验室报告
使用 Google Analytics 进行网页浏览
黑客新闻的文章
黑客使用谷歌分析绕过网络安全并窃取信用卡
