濫用OAuth令牌的Google Docs釣魚攻擊讓攻擊者能夠完全訪問用戶的Gmail帳戶和聯系人。谷歌在一小時內制止了該攻擊,禁用攻擊者的電子郵件帳戶,并相應采取其他保護措施。那么,攻擊者是如何利用OAuth訪問受害者的Gmail帳戶的?
Nick Lewis:Google一向以其也基礎架構的安全性為傲,稱它在保護基礎架構方面表現非常好。這個安全基礎設施意味著Google及其客戶只需要解決應用程序的安全問題即可,這使得開發人員的工作變得更為容易。這給開發者、甚至用戶帶來應用層的安全。
在最近發生的Google Docs釣魚攻擊中,Google的安全基礎設施被繞過,導致大量用戶帳戶受攻擊。這一攻擊是通過一個名為Google Docs的應用程序進行的,企圖欺騙用戶信任其實Google合法提供的,可能有多達100萬Gmail用戶受到此次攻擊的影響。
該攻擊給消費帳戶造成極大的影響,且對于使用Google Docs的企業來說,影響更不可小覷,如果一些企業將敏感的企業數據存儲在Google Docs中則更為如此。
京公網安備 11010502049343號