一月 15, 2007
Google漏洞可让黑客完全控制用户帐号(已修复)
由. Ken Wong 将文章归档于 G事八卦
不管你的密码在Google的眼里安全等级有多高,黑客还是可以轻易地利用Google的漏洞而完全控制你的Google帐号。这并不是天方夜谭,而正是最近这两天发生的事。发现这个漏洞的不是别人,正是之前常常以挖掘Google代码为乐的Tony Ruscoe(他的代表作)。
为了验证Tony发现的这个漏洞,Philipp亲自和他做了个实验。实验过程很简单,Tony给Philipp发送一个放置在xxx.google.com上面的网页的链接,Philipp只需点击它,Tony即获得了Philipp的Google帐户的所有权限(Philipp点击网页链接时Google帐号处于登入状态)!这是一个很容易让人上当的过程,因为在绝大多数情况下,在Google官方子域名上面的网页,我们都认为是安全的。
上面的实验的原理是Tony事先写了一段代码,并且把它放在网页上,再利用Google的漏洞,把这个网页放上Google子域名上。当Philipp(或任何Google帐户处于已登录状态的Google用户)进入这个网页时,Philipp的Google cookies就会被自动发送给Tony,而Tony则可以从Philipp的Google cookies里获得Philipp的Google帐户的资料,甚至还可以直接更改Philipp的密码。也就是说,Tony通过这样一个简单的网页,即可完全控制了Philipp的Google帐户。要阅读Philipp的Gmail、更改他的Google Doc & Spreadsheets文档,又或者阅读他的Google搜索记录,都完全不在话下,轻而易举。
这样的漏洞可导致的后果对于所有Google用户而言都是灾难性的,不过幸好Tony及时通知了Google,而Google则在3.5小时后就修复了这个漏洞。Tony今天在确认Google官方已经修复该漏洞的情况下,公开了漏洞的详情,大家可点击这里阅读。简单地说,Tony是抓住了Blogger新近增加的允许用户自行绑定域名功能的一个漏洞而达到目的的。
如果你还记得,利用Google子域名来欺骗用户的事件之前已经发生过了,那正是去年9月发生的Gmail Plus事件。不过幸运的是,这两个发现漏洞的人都没有恶意,并且他们都在发现漏洞后,第一时间通知了Google,等漏洞被修复后才公开经过。这是正确的做法,因此如果某天你也发现了Google的安全性问题,建议第一时间通知Google,详细的联系方法可查看G速客之前的文章。
固定链接: Google漏洞可让黑客完全控制用户帐号(已修复)
关键词:
Google 安全 漏洞 Blogger 域名
引用: http://www.creative-weblogging.com/cgi-bin/mt-tb.pl/49290
