ENS首席開發者揭露允許網絡釣魚者模仿谷歌官方警報的漏洞

PANews 4月17日消息，據Bitcoin.com報道，ENS首席開發者Nick Johnson揭露了一起精妙的網絡釣魚攻擊，該攻擊利用了谷歌系統中的漏洞，尤其是近期已修復的OAuth漏洞。據Johnson描述，攻擊者先發送看似來自谷歌法律部門的欺詐郵件，謊稱收件人的帳戶涉及傳票調查。這些郵件帶有真實的DKIM數字籤名，且發自谷歌官方的no-reply域名，因此能輕易繞過Gmail的垃圾郵件過濾。Johnson指出，該騙局的可信度因一個連結至僞造支持門戶的sites.google.com超連結而大增。這個僞造的谷歌登入頁面暴露了兩大安全漏洞：一是Google Sites平台允許執行任意腳本，使犯罪分子能夠創建竊取憑證的頁面；二是OAuth協議本身存在缺陷。 Johnson譴責谷歌最初將此漏洞視爲“符合設計預期”，並強調該漏洞構成嚴重威脅。更糟糕的是，僞造門戶利用sites.google.com這一可信域名作爲掩護，極大地降低了用戶的警惕性。此外，Google Sites的濫用舉報機制不完善，導致非法頁面難以及時被關閉。在公衆壓力下，谷歌最終承認存在問題。Johnson隨後確認，谷歌計劃修復OAuth協議的缺陷。安全專家提醒用戶保持警惕，對任何意外的法律文書都要持懷疑態度，並在輸入憑證前仔細核實網址的真實性。