Marcel R.发现了一个可被利用的出现在Gmail/Google 帐户登录时的钓鱼漏洞。他已在5月与Google的安全部门联系,但这个漏洞直到今天依然存在,Google也没有回复他。
以下是这个漏洞发生在一个不了解这个漏洞的人身上的过程:
- 你点击了一个链接试图登录Gmail或Google 帐户,这个链接正确地指向了域名是Google.com的登录页面。
- 在点击链接后,你所处页面的域名仍是Google.com。你进行登录操作(如果你已经登录了将跳过这一步)。
- 你会接收到一个信息告诉你,你输入的密码不正确,你被要求再次输入密码以验证身份。
在你完成了第三步后,Cracker就会拥有你的密码了。不明白你在如此小心翼翼的情况下为何还会被盗密码?问题出现在第三步,此时你所处页面的域名已经不是Google.com的了,而是一个被盗取密码者所控制的第三方站点。
之所以会造成这种情况是因为Google允许你在链接到Google 帐户的登录页面的URL中添加参数。这个参数描述了登录前访问的上一个页面,当用户已经登录过一次后,应该会自动被允许进入。Google足够聪明地只允许为这个参数填入确定值,但这个防御系统仍然存在一个漏洞。在此之后,Philipp再次联系了Google的安全部门,在其说明这个特殊的漏洞前,给予他们一些时间来解决以防止被某些人滥用。
Marcel R.不是一个Cracker,但他提出了另一种钓鱼攻击的方案,这个方案比起第三歩要更高明。创建一个运行中的Google 登录页面的副本,这样将直接引导你到登陆界面,除非你再次检查浏览器地址栏显示的URL,否则将不会被发现(via Philipp)。
在这个漏洞被修正前,我给予以下3个安全建议:
- 不要通过点击链接到Google 登录页面的链接进行登录。
- 无时无刻地注意检查域名和开启浏览器的反钓鱼网站功能。
- 使用https模式进行安全登陆(正如我在保护你的Google 帐户的安全中所建议的,只要有可能,尽量使用https模式)。
唉,互联网真是处处是陷阱,简直防不胜防,各位多做好事,积累多点RP自求多福吧......
没有评论:
发表评论