熱搜:win11繞過硬件限制安裝 一鍵重裝Win10系統(tǒng) 最干凈的u盤啟動盤 真正純凈版的win7系統(tǒng)
編輯:chenbing 2016-08-30 15:55:38 來源于:互聯(lián)網(wǎng)
據(jù)悉,近日,英國安全研究人員Aidan Woods發(fā)現(xiàn)谷歌的登錄頁面隱藏著安全隱患。當(dāng)點(diǎn)擊登錄按鈕是,將有惡意的文件會進(jìn)行自動下載。對此,谷歌方面已經(jīng)知曉了這個安全漏洞問題,并做出了相應(yīng)措施。
英國安全研究人員Aidan Woods近日在Google的登錄頁面發(fā)現(xiàn)安全隱患,當(dāng)他點(diǎn)擊登錄按鈕的時候能夠允許機(jī)智的攻擊者自動下載惡意文件到用戶電腦上。導(dǎo)致這個問題的關(guān)鍵是Google允許在登錄頁面URL中調(diào)用了“continue=[link]”參數(shù),這個地址能夠告訴Google服務(wù)器用戶在登錄之后重引導(dǎo)用戶到哪里。Google已經(jīng)考慮到這個參數(shù)可能會導(dǎo)致安全問題,并只能在google.com域名中的“*.google.com/*”規(guī)則使用,這里的*為通配符。
完整報(bào)告:Woods的博客
Woods表示這意味著drive.google.com或者docs.google.com都能通過這個continue這個登錄頁面的有效參數(shù)來進(jìn)行訪問。聰明的黑客甚至能夠上傳惡意文件至受害人的Google Drive或者Google Docs賬號,隱藏在官方Google登錄鏈接中。當(dāng)用戶訪問這個頁面并進(jìn)行登錄的時候,能夠在未經(jīng)用戶確認(rèn)的情況下下載文件,這些文件使用類似于“Login_Challenge.exe”或者 “Two-Factor-Authentication.exe”這樣的名稱,欺騙用戶點(diǎn)擊安裝。
對此Google官方回應(yīng)道:
感謝你提供的BUG報(bào)告并讓我們的用戶更加安全。我們已經(jīng)開始調(diào)查你提交的內(nèi)容但是我們還是非常遺憾的告訴你我們做出決定并不會當(dāng)做安全BUG進(jìn)行追蹤。你所提交的報(bào)告沒有被我們的VRP所接受。對于技術(shù)安全漏洞的報(bào)告應(yīng)該是影響機(jī)密性或用戶數(shù)據(jù)的,但是我們認(rèn)為你所提交的問題并沒有影響。
很多用戶表示不理解,為何谷歌并沒有對這漏洞進(jìn)行追蹤呢?也許真像谷歌自己說的那樣,技術(shù)安全漏洞的報(bào)告應(yīng)該是保密的。希望谷歌對這一安全隱患問題能夠正確的處理解決。
發(fā)表評論
共0條
評論就這些咯,讓大家也知道你的獨(dú)特見解
立即評論以上留言僅代表用戶個人觀點(diǎn),不代表系統(tǒng)之家立場