PANews 4月17日消息,據Bitcoin.com報道,ENS首席開發者Nick Johnson揭露了一起精妙的網絡釣魚攻擊,該攻擊利用了谷歌系統中的漏洞,尤其是近期已修復的OAuth漏洞。據Johnson描述,攻擊者先發送看似來自谷歌法律部門的欺詐郵件,謊稱收件人的賬戶涉及傳票調查。這些郵件帶有真實的DKIM數字簽名,且發自谷歌官方的no-reply域名,因此能輕易繞過Gmail的垃圾郵件過濾。Johnson指出,該騙局的可信度因一個鏈接至偽造支持門戶的sites.google.com超鏈接而大增。這個偽造的谷歌登錄頁面暴露了兩大安全漏洞:一是Google Sites平臺允許執行任意腳本,使犯罪分子能夠創建竊取憑證的頁面;二是OAuth協議本身存在缺陷。
Johnson譴責谷歌最初將此漏洞視為“符合設計預期”,並強調該漏洞構成嚴重威脅。更糟糕的是,偽造門戶利用sites.google.com這一可信域名作為掩護,極大地降低了用戶的警惕性。此外,Google Sites的濫用舉報機制不完善,導致非法頁面難以及時被關閉。在公眾壓力下,谷歌最終承認存在問題。Johnson隨後確認,谷歌計劃修復OAuth協議的缺陷。安全專家提醒用戶保持警惕,對任何意外的法律文書都要持懷疑態度,並在輸入憑證前仔細核實網址的真實性。
