Skip to content
[ root@retasan:~# Saturday, Jul 18, 2026 ]

> Retasan.id_

// Portal Berita Keamanan Siber Terkini

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.
Exploit Development Malware Kebijakan Keamanan Cyberwarfare Tools Data Breach Video Iklan Catatan Pribadi
Exploit Development

Confused Deputy: Google IdP Universal Account Takeover via Device Code Flow Hijacking

// by retasan-news July 18, 2026 4 min read

Seorang peneliti keamanan menerbitkan laporan lengkap tentang dua vulnerability zero-day yang saling berinteraksi dalam implementasi Google OAuth Device Authorization Grant (RFC 8628). Kedua bug ini memungkinkan silent account takeover di seluruh aplikasi yang menggunakan “Sign in with Google” tanpa consent screen, tanpa 2FA prompt, dan hampir tanpa jejak di akun korban. Google memberikan reward $13.337 setelah laporan awal ditolak dua kali.

APA YANG TERJADI?

Peneliti menemukan dua vulnerability dalam device authorization grant Google yang distack bersama. Vulnerability pertama: session yang menancapkan device-code sign-in sepenuhnya bisa ditransfer dengan menyalin sign-in URL dari satu browser ke browser lain. Vulnerability kedua: authorization server tidak pernah mengikat client_id dan scope ke device_code secara server-side, sehingga keduanya bisa ditukar dalam URL setelah pembuatan.

Ketika kedua bug digabungkan dengan parameter prompt=none, setiap link yang dibuka oleh korban yang pernah menggunakan “Sign in with Google” diam-diam menyerahkan access token untuk client arbitrary tanpa klik, tanpa consent screen, tanpa prompt 2FA, dan hampir tanpa jejak dalam aktivitas akun korban.

DETAIL TEKNIS

Device authorization grant (RFC 8628) dirancang untuk device yang tidak memiliki browser. Perangkat memanggil authorization server langsung dan menerima device_code (rahasia) dan user_code (pendek, ditampilkan di layar). Peneliti menemukan bahwa URL challenge di accounts.google.com carrying parameter TL (encrypted blob yang membawa session state) bisa ditransfer ke browser kedua. Yang lebih kritis, karena redirect_uri tidak ada dalam URL karena grant tidak pernah dikirim melalui browser, client_id dan scope bisa ditukar secara bebas.

Peneliti berhasil mengubah client_id dari YouTube TV ke Google Cloud SDK dan mendapatkan token dengan scope cloud-platform, compute, appengine.admin meskipun polling dilakukan dengan device_code YouTube TV yang asli. Dengan menambahkan prompt=none, consent screen bisa dilewati sepenuhnya karena “Sign in with Google” ada di mana-mana dan kebanyakan orang telah mengizinkan openid email profile untuk puluhan aplikasi. Bahkan Gmail bisa dikompromikan melalui IMAP XOAUTH2 menggunakan Apple iOS Mail client ID sebagai substitusi.

DAMPAK TERHADAP INDONESIA

Vulnerability ini memiliki dampak signifikan bagi pengguna Google di Indonesia mengingat penetrasi layanan Google yang sangat tinggi dari Gmail hingga integrasi “Sign in with Google” di berbagai platform lokal. Organisasi yang menggunakan Google Workspace untuk operasional kritis berisiko mengalami account takeover diam-diam. Karena audit trail hanya menampilkan client asli (YouTube TV) dan bukan client yang ditukar, deteksi serangan ini oleh SOC atau CSIRT akan sangat sulit tanpa pemeriksaan manual. Ini menjadi perhatian serius terkait UU PDP karena data email dan dokumen Google Drive yang dikompromikan dapat mengandung data pribadi jutaan pengguna Indonesia.

REKOMENDASI MITIGASI

Google telah memperbaiki vulnerability ini pada 28 Maret 2026. Pengguna harus segera memeriksa halaman myaccount.google.com/connections untuk mengidentifikasi izin yang mencurigakan. Organisasi harus mengaktifkan Advanced Protection Program untuk akun kritis dan mengimplementasikan monitoring terhadap token OAuth yang dikeluarkan untuk scope yang tidak biasa. Penggunaan FIDO2/WebAuthn sebagai authentication factor tambahan sangat direkomendasikan untuk melindungi akun dari serangan sejenis.

Analisa Retasan

Vulnerability ini merupakan contoh sempurna dari confused deputy problem dalam konteks modern OAuth implementation. Device authorization grant secara eksplisit dirancang untuk memisahkan device dan browser autentikasi. Google mengimplementasikan flow ini dengan benar menurut RFC 8628 namun gagal dalam dua aspek kritis: tidak memvalidasi binding antara device_code dan client_id atau scope secara server-side, serta tidak mengenkripsi session state secara sufficient untuk mencegah transfer antar browser. Ketiadaan redirect_uri dalam device flow secara teknis benar karena grant dikirim out-of-band, namun secara tidak sengaja menghilangkan mekanisme pertahanan terakhir yang biasanya mencegah substitusi client.

Pola kerentanan ini mengingatkan pada beberapa kejadian serupa di mana asumsi keamanan berbasis URL terbukti lemah. Dalam konteks OAuth, riwayat vulnerability seperti OAuth mix-up attacks dan open redirect exploitation menunjukkan bahwa protokol yang tampak solid dapat memiliki weak points yang kritis jika implementasi tidak memperhatikan edge case secara detail. Teknik prompt=none untuk melewati consent screen memanfaatkan fakta bahwa trust relationship antara pengguna dan “Sign in with Google” telah menjadi universal, menciptakan surface area yang sangat luas untuk eksploitasi.

Dari perspektif pertahanan Indonesia, temuan ini menyoroti kerentanan dalam supply chain autentikasi yang sering diabaikan. Banyak platform Indonesia mengandalkan “Sign in with Google” sebagai mekanisme autentikasi primer. Jika akun Google dikompromikan melalui teknik ini, seluruh ekosistem terkait berisiko terungkap. BSSN dan Kementerian Kominfo perlu mengeluarkan advisory khusus tentang risiko ini terutama bagi instansi pemerintah yang menggunakan Google Workspace. Implementasi monitoring terhadap OAuth token anomali dan penggunaan FIDO2 untuk akun kritis menjadi imperatif di tengah lanskap ancaman yang semakin canggih.

Sumber: Confused Deputy: Google IdP Universal Account Takeover via Device Code Flow Hijacking oleh weirdmachine64

Tags: Account Takeover Authentication Bug Bounty Google IDP OAuth Zero-Day
Share:

retasan-news

← Previous Harnessing Harnesses: Membangun Pipeline AI Agent untuk Vulnerability Research Skala Besar
Next → Cara Menggunakan Claude Code untuk Bug Bounty: Temukan Cepat, Validasi Secara Manual

Artikel Terkait

Shadow Token via Remote Debug: Teknik Baru Hijack Email via OAuth Tanpa Mencuri Password

Shadow Token via Remote Debug: Teknik Baru Hijack Email via OAuth Tanpa Mencuri Password

July 18, 2026
LegacyHive: Windows Zero-Day Memungkinkan Penyerang Membajak Registry Hive Administrator

LegacyHive: Windows Zero-Day Memungkinkan Penyerang Membajak Registry Hive Administrator

July 18, 2026
wp2shell: Kerentanan Inti WordPress Memungkinkan Penyerang Tak Terotentikasi Menjalankan Kode

wp2shell: Kerentanan Inti WordPress Memungkinkan Penyerang Tak Terotentikasi Menjalankan Kode

July 18, 2026

> leave_comment_

Your email address will not be published. Required fields are marked *

Copyright © 2026 Retasan | retasan.my.id

  • Kebijakan & Privasi
  • Kontak Retasan.id
  • Tentang Retasan.