微慑信息网

Google 强化 OAuth 协议以防网络钓鱼攻击

据外媒 8 日报道,黑客于近期针对 Gmail 用户伪造 Google Docs 展开大规模网络钓鱼攻击后,Google 表示将强化 OAuth 协议以防止此类事件再度发生。

OAuth 协议允许第三方应用程序在未触及用户帐号信息(如用户名与密码)时,申请获取用户资源授权。为用户资源授权提供一个安全、开放而又简易的标准。

调查显示,Gmail 用户于上周收到内含伪造 Google Docs 链接的电子邮件,其发件人源自用户所熟悉的账户名称。用户点击链接后将会跳转至要求授予 Google Docs 权限的页面,然而这并非真实的 Google Docs 页面,而是由企图获取用户权限的黑客伪造所伪造的。此外,伪造应用程序使用 Google 自身的 OAuth 协议实现访问 Gmail 账户的请求,若成功获得用户许可,程序将自动向受害者联系人发送相同钓鱼邮件。

事实上,干预美国与法国选举的黑客组织 Fancy Bear 也曾采用过同样的技术手段。据报道,此次 Google 在收到首份钓鱼邮件报告后立即进行了处理,但还是存在大量用户点击链接并下载应用程序的情况。所幸删除应用程序的方式较为简单。目前,也只有不到 0.1% 的 Gmail 用户受到此次攻击事件的影响。

原作者:Gabriela Vatu, 译者:青楚,译审:狐狸酱

from hackernews.cc.thanks for it.

本文标题:Google 强化 OAuth 协议以防网络钓鱼攻击
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0510_3539.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Google 强化 OAuth 协议以防网络钓鱼攻击
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们