close
企業趨勢資訊保安

Google 登入網址或藏危機 參數可作釣魚攻擊及傳播惡意檔案

網址中不同的參數有不同功用,如 Google 的 ?continue 便可讓用戶登入後自動轉頁至該網站,但正因這樣,有電腦保安專家認為不法分子可用這參數來釣魚,欺騙受害人瀏覽釣魚網站和下載惡意檔案。

google-login

 

Google 的登入網址有一個 continue 的參數,該參數的值決定用戶登入後自動前往的網址。雖然 Google 已設定白名單,只有 Google 域名的網址才可轉址,但研究人員 Aidan Woods 稱,只要利用 ?continue=http://www.google.com/amp/example.com ,登入後便可轉址至任何網站。他指出,不法分子可藉此插入釣魚網站,讓用戶登入後轉址至偽造的「請重新輸入密碼」網頁,騙取登入資訊。

除了 Open Redirect 之外,Woods 亦指出 continue 參數可插入 Google Doc 文件的網址 https://docs.google.com/uc?id=[檔案 ID]&export=download,用戶登入時檔案便會自動下載。如此一來不法分子便可散播惡意檔案。

不過 Google 不認為這是安全漏洞,事態並不嚴重,無意修復問題。

Source : Business Insider

 

Tags :googlegoogle drivephishing
Dennis Ma

The authorDennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。