微慑信息网

Google 强化 OAuth 协议以防网络钓鱼攻击

据外媒 8 日报道,黑客于近期针对 Gmail 用户伪造 Google Docs 展开大规模网络钓鱼攻击后,Google 表示将强化 OAuth 协议以防止此类事件再度发生。

OAuth 协议允许第三方应用程序在未触及用户帐号信息(如用户名与密码)时,申请获取用户资源授权。为用户资源授权提供一个安全、开放而又简易的标准。

调查显示,Gmail 用户于上周收到内含伪造 Google Docs 链接的电子邮件,其发件人源自用户所熟悉的账户名称。用户点击链接后将会跳转至要求授予 Google Docs 权限的页面,然而这并非真实的 Google Docs 页面,而是由企图获取用户权限的黑客伪造所伪造的。此外,伪造应用程序使用 Google 自身的 OAuth 协议实现访问 Gmail 账户的请求,若成功获得用户许可,程序将自动向受害者联系人发送相同钓鱼邮件。

事实上,干预美国与法国选举的黑客组织 Fancy Bear 也曾采用过同样的技术手段。据报道,此次 Google 在收到首份钓鱼邮件报告后立即进行了处理,但还是存在大量用户点击链接并下载应用程序的情况。所幸删除应用程序的方式较为简单。目前,也只有不到 0.1% 的 Gmail 用户受到此次攻击事件的影响。

原作者:Gabriela Vatu, 译者:青楚,译审:狐狸酱

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Google 强化 OAuth 协议以防网络钓鱼攻击

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册