谷歌OAuth漏洞詳情

谷歌的OAuth驗證系統(tǒng)最近被發(fā)現(xiàn)存在一個名為“MultiLogin”的零日漏洞。這個漏洞允許黑客即使在賬號密碼被更改之后，仍然能夠通過利用過期的cookie數(shù)據(jù)來劫持用戶的谷歌賬號。安全公司CloudSEK發(fā)現(xiàn)了這個問題，并指出市面上的一款名為Lumma的勒索軟件就是基于這一漏洞開發(fā)的。這款軟件的開發(fā)者聲稱，它能夠從受害電腦中竊取與谷歌服務相關(guān)的cookie，并強調(diào)這些cookie是長期有效的，即便用戶修改了賬號密碼也依然可以使用。

賬號密碼更改后的安全問題

這個漏洞的發(fā)現(xiàn)意味著即使用戶采取了常規(guī)的安全措施，如更改賬號密碼，他們的賬號仍然可能處于風險之中。因為黑客可以使用“MultiLogin”端點來生成新的、有效的cookie，從而繞過賬號密碼的更改，繼續(xù)訪問用戶的賬號。

谷歌驗證系統(tǒng)的安全漏洞

據(jù)CloudSEK的報告，這個漏洞利用了一個未記錄的Google OAuth端點“MultiLogin”，它通過接受賬戶ID和auth-login tokens向量來同步不同Google服務之間的賬戶。這個請求是Gaia Auth API的一部分，只要cookie中的賬戶與瀏覽器中的賬戶不一致就會觸發(fā)。濫用該端點的惡意軟件會提取登錄到谷歌賬戶的Chrome配置文件的tokens和賬戶ID。

零日漏洞的一般概念

零日漏洞通常指的是還沒有補丁的安全漏洞，而零日攻擊則是指利用這些漏洞對系統(tǒng)或軟件應用發(fā)動的網(wǎng)絡(luò)攻擊。這類攻擊通常具有很大的破壞性，因為它們發(fā)生在漏洞被廣泛認識并修復之前。

結(jié)論

目前，谷歌用戶需要對這個新發(fā)現(xiàn)的“MultiLogin”零日漏洞保持警惕，并關(guān)注谷歌官方的安全更新和補丁發(fā)布。同時，用戶應該采取額外的安全措施，比如啟用兩步驗證，以增加賬戶的安全性。盡管如此，這個漏洞的存在提醒我們，即使是最先進的驗證系統(tǒng)也可能存在漏洞，用戶和企業(yè)都需要保持對網(wǎng)絡(luò)安全的持續(xù)關(guān)注和投資。