谷歌OAuth漏洞詳情

谷歌的OAuth驗(yàn)證系統(tǒng)最近被發(fā)現(xiàn)存在一個(gè)名為“MultiLogin”的零日漏洞。這個(gè)漏洞允許黑客即使在賬號(hào)密碼被更改之后，仍然能夠通過利用過期的cookie數(shù)據(jù)來劫持用戶的谷歌賬號(hào)。安全公司CloudSEK發(fā)現(xiàn)了這個(gè)問題，并指出市面上的一款名為Lumma的勒索軟件就是基于這一漏洞開發(fā)的。這款軟件的開發(fā)者聲稱，它能夠從受害電腦中竊取與谷歌服務(wù)相關(guān)的cookie，并強(qiáng)調(diào)這些cookie是長期有效的，即便用戶修改了賬號(hào)密碼也依然可以使用。

賬號(hào)密碼更改后的安全問題

這個(gè)漏洞的發(fā)現(xiàn)意味著即使用戶采取了常規(guī)的安全措施，如更改賬號(hào)密碼，他們的賬號(hào)仍然可能處于風(fēng)險(xiǎn)之中。因?yàn)楹诳涂梢允褂谩癕ultiLogin”端點(diǎn)來生成新的、有效的cookie，從而繞過賬號(hào)密碼的更改，繼續(xù)訪問用戶的賬號(hào)。

谷歌驗(yàn)證系統(tǒng)的安全漏洞

據(jù)CloudSEK的報(bào)告，這個(gè)漏洞利用了一個(gè)未記錄的Google OAuth端點(diǎn)“MultiLogin”，它通過接受賬戶ID和auth-login tokens向量來同步不同Google服務(wù)之間的賬戶。這個(gè)請(qǐng)求是Gaia Auth API的一部分，只要cookie中的賬戶與瀏覽器中的賬戶不一致就會(huì)觸發(fā)。濫用該端點(diǎn)的惡意軟件會(huì)提取登錄到谷歌賬戶的Chrome配置文件的tokens和賬戶ID。

零日漏洞的一般概念

零日漏洞通常指的是還沒有補(bǔ)丁的安全漏洞，而零日攻擊則是指利用這些漏洞對(duì)系統(tǒng)或軟件應(yīng)用發(fā)動(dòng)的網(wǎng)絡(luò)攻擊。這類攻擊通常具有很大的破壞性，因?yàn)樗鼈儼l(fā)生在漏洞被廣泛認(rèn)識(shí)并修復(fù)之前。

結(jié)論

目前，谷歌用戶需要對(duì)這個(gè)新發(fā)現(xiàn)的“MultiLogin”零日漏洞保持警惕，并關(guān)注谷歌官方的安全更新和補(bǔ)丁發(fā)布。同時(shí)，用戶應(yīng)該采取額外的安全措施，比如啟用兩步驗(yàn)證，以增加賬戶的安全性。盡管如此，這個(gè)漏洞的存在提醒我們，即使是最先進(jìn)的驗(yàn)證系統(tǒng)也可能存在漏洞，用戶和企業(yè)都需要保持對(duì)網(wǎng)絡(luò)安全的持續(xù)關(guān)注和投資。