据外媒 8 日报道,黑客于近期针对 Gmail 用户伪造 Google Docs 展开大规模网络钓鱼攻击后,Google 表示将强化 OAuth 协议以防止此类事件再度发生。
OAuth 协议允许第三方应用程序在未触及用户帐号信息(如用户名与密码)时,申请获取用户资源授权。为用户资源授权提供一个安全、开放而又简易的标准。
调查显示,Gmail 用户于上周收到内含伪造 Google Docs 链接的电子邮件,其发件人源自用户所熟悉的账户名称。用户点击链接后将会跳转至要求授予 Google Docs 权限的页面,然而这并非真实的 Google Docs 页面,而是由企图获取用户权限的黑客伪造所伪造的。此外,伪造应用程序使用 Google 自身的 OAuth 协议实现访问 Gmail 账户的请求,若成功获得用户许可,程序将自动向受害者联系人发送相同钓鱼邮件。
事实上,干预美国与法国选举的黑客组织 Fancy Bear 也曾采用过同样的技术手段。据报道,此次 Google 在收到首份钓鱼邮件报告后立即进行了处理,但还是存在大量用户点击链接并下载应用程序的情况。所幸删除应用程序的方式较为简单。目前,也只有不到 0.1% 的 Gmail 用户受到此次攻击事件的影响。
原作者:Gabriela Vatu, 译者:青楚,译审:狐狸酱
from hackernews.cc.thanks for it.