谷歌 OAuth 验证系统曝“MultiLogin”重大零日漏洞

谷歌OAuth漏洞详情

谷歌的OAuth验证系统最近被发现存在一个名为“MultiLogin”的零日漏洞。这个漏洞允许黑客即使在账号密码被更改之后,仍然能够通过利用过期的cookie数据来劫持用户的谷歌账号。安全公司CloudSEK发现了这个问题,并指出市面上的一款名为Lumma的勒索软件就是基于这一漏洞开发的。这款软件的开发者声称,它能够从受害电脑中窃取与谷歌服务相关的cookie,并强调这些cookie是长期有效的,即便用户修改了账号密码也依然可以使用。

谷歌 OAuth 验证系统曝“MultiLogin”重大零日漏洞插图

账号密码更改后的安全问题

这个漏洞的发现意味着即使用户采取了常规的安全措施,如更改账号密码,他们的账号仍然可能处于风险之中。因为黑客可以使用“MultiLogin”端点来生成新的、有效的cookie,从而绕过账号密码的更改,继续访问用户的账号。

谷歌验证系统的安全漏洞

据CloudSEK的报告,这个漏洞利用了一个未记录的Google OAuth端点“MultiLogin”,它通过接受账户ID和auth-login tokens向量来同步不同Google服务之间的账户。这个请求是Gaia Auth API的一部分,只要cookie中的账户与浏览器中的账户不一致就会触发。滥用该端点的恶意软件会提取登录到谷歌账户的Chrome配置文件的tokens和账户ID。

零日漏洞的一般概念

零日漏洞通常指的是还没有补丁的安全漏洞,而零日攻击则是指利用这些漏洞对系统或软件应用发动的网络攻击。这类攻击通常具有很大的破坏性,因为它们发生在漏洞被广泛认识并修复之前。

结论

目前,谷歌用户需要对这个新发现的“MultiLogin”零日漏洞保持警惕,并关注谷歌官方的安全更新和补丁发布。同时,用户应该采取额外的安全措施,比如启用两步验证,以增加账户的安全性。尽管如此,这个漏洞的存在提醒我们,即使是最先进的验证系统也可能存在漏洞,用户和企业都需要保持对网络安全的持续关注和投资。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
搜索