ENS首席开发者揭示谷歌钓鱼漏洞 OAuth缺陷引关注

微想AI 快讯

idea2003.cn 4月17日讯 据Bitcoin.com最新报道,ENS首席开发者Nick Johnson公开揭露了一起利用谷歌系统漏洞的精密网络钓鱼攻击事件。该攻击手法极其隐蔽,不仅巧妙利用了近期已修复的OAuth漏洞,更通过一系列精心设计的步骤骗取用户凭证。Johnson详细描述了整个攻击流程:攻击者首先发送伪装成谷歌法律部门邮件的欺诈信息,声称收件人账户涉及传票调查。这些邮件不仅拥有真实的DKIM数字签名,还来自谷歌官方的no-reply域名,从而成功绕过Gmail的垃圾邮件过滤机制。

这种骗局的迷惑性极强,邮件中包含一个指向伪造支持门户的sites.google.com超链接。当用户点击该链接时,将看到一个看似真实的谷歌登录页面,这个页面恰恰暴露了两个关键安全漏洞:一是Google Sites平台存在任意脚本执行漏洞,允许犯罪分子植入窃取凭证的恶意代码;二是OAuth协议本身的设计缺陷为攻击者提供了可乘之机。Johnson强烈谴责谷歌最初将此漏洞视为”符合设计预期”,认为这种态度极其危险。更令人担忧的是,伪造门户利用sites.google.com这一高可信域名作为掩护,大幅降低了用户的警惕性。

此外,Google Sites的滥用举报机制存在明显缺陷,导致非法页面难以被及时发现和处理。在公众的持续关注下,谷歌最终承认了这一安全隐患。Johnson随后确认,谷歌已计划修复OAuth协议的缺陷。安全专家在此提醒广大用户:面对任何声称涉及法律文书的意外邮件,都应保持高度警惕,在输入任何凭证前务必仔细核实网址的真实性。这一事件再次敲响警钟,网络安全威胁正在不断演变,用户和科技公司都必须持续提升安全防护能力。

本文网址:http://www.idea2003.cn/kuai/3200.html

(0)
微想AI微想AI
0
上一篇 2025年4月17日 am8:42
下一篇 2025年4月17日 am8:42

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

记住昵称、邮箱和网址,下次评论免输入