谷歌OAuth漏洞详情
谷歌的OAuth验证系统最近被发现存在一个名为“MultiLogin”的零日漏洞。这个漏洞允许黑客即使在账号密码被更改之后,仍然能够通过利用过期的cookie数据来劫持用户的谷歌账号。安全公司CloudSEK发现了这个问题,并指出市面上的一款名为Lumma的勒索软件就是基于这一漏洞开发的。这款软件的开发者声称,它能够从受害电脑中窃取与谷歌服务相关的cookie,并强调这些cookie是长期有效的,即便用户修改了账号密码也依然可以使用。
账号密码更改后的安全问题
这个漏洞的发现意味着即使用户采取了常规的安全措施,如更改账号密码,他们的账号仍然可能处于风险之中。因为黑客可以使用“MultiLogin”端点来生成新的、有效的cookie,从而绕过账号密码的更改,继续访问用户的账号。
谷歌验证系统的安全漏洞
据CloudSEK的报告,这个漏洞利用了一个未记录的Google OAuth端点“MultiLogin”,它通过接受账户ID和auth-login tokens向量来同步不同Google服务之间的账户。这个请求是Gaia Auth API的一部分,只要cookie中的账户与浏览器中的账户不一致就会触发。滥用该端点的恶意软件会提取登录到谷歌账户的Chrome配置文件的tokens和账户ID。
零日漏洞的一般概念
零日漏洞通常指的是还没有补丁的安全漏洞,而零日攻击则是指利用这些漏洞对系统或软件应用发动的网络攻击。这类攻击通常具有很大的破坏性,因为它们发生在漏洞被广泛认识并修复之前。
结论
目前,谷歌用户需要对这个新发现的“MultiLogin”零日漏洞保持警惕,并关注谷歌官方的安全更新和补丁发布。同时,用户应该采取额外的安全措施,比如启用两步验证,以增加账户的安全性。尽管如此,这个漏洞的存在提醒我们,即使是最先进的验证系统也可能存在漏洞,用户和企业都需要保持对网络安全的持续关注和投资。
