googledocs的垃圾郵件攻擊消除了google最根本的弱點

如果你看到一封來自熟人的谷歌文件郵件，你會開啟它，對嗎？如果點選後，谷歌要求你再次登入，你會認為有什麼問題嗎？...

如果你看到一封來自熟人的谷歌文件郵件，你會開啟它，對嗎？如果點選後，谷歌要求你再次登入，你會認為有什麼問題嗎？

對於無數的Gmail使用者來說，答案是否定的。昨天，一個複雜的網路釣魚攻擊席捲了整個網路，偽裝成googledocs的許可權請求。每次有人按照提示操作時，該應用程式都會進入使用者的聯絡人列表，並爆出新一輪電子郵件，造成賬戶洩露的連鎖反應。據谷歌稱，這次攻擊影響了不到0.1%的Gmail使用者，但仍有多達100萬人。儘管這個方案看起來很簡單，但實際上是一連串相互關聯的惡作劇，每一個惡作劇都是由於谷歌在一個基本開放的系統上令人放心的存在而成為可能的，並引發了人們對谷歌如何構建其產品的嚴重質疑。

為了理解這是怎麼發生的，我們需要一步一步地看看攻擊是如何運作的。targets首先看到的是這封郵件，郵件的主題是“Russell與您共享了Google Docs上的一個文件”（這實際上比Docs更接近日曆行話，它以文件本身的名稱開頭，但顯然已經足夠接近了），這封郵件顯示了一行文字（“羅素邀請你檢視以下文件”），然後是一個熟悉的谷歌藍色的“在文件中開啟”按鈕。

在技術層面上，這個連結基本上是一個“點選這裡安裝我的應用”按鈕。唯一聰明的部分是讓它看起來像別的東西。當然，任何人都可以傳送電子郵件，你幾乎可以完全控制電子郵件到達某人收件箱時的外觀。你可以阻止一個人在一個封閉的系統中偽裝資訊，比如應用商店或者私人資訊系統，但是電子郵件是一個開放的協議，就像網路本身一樣。

如果你真的很聰明，你可能會在點選連結之前檢視網址，在這種情況下你會看到：

https://accounts.google.com/o/oauth2/auth?client_id=346348828325-vlpb3e70lp89pd823qrcb9jf**u556t8.apps.googleusercontent.com&scope=https%3A%2F%2Fmail.google.com%2F+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcontacts&immediate=false&include_granted_scopes=true&resp***e_type=token&redirect_uri=https%3A%2F%2Fgoogledocs.g-cloud.pro%2Fg.php&customparam=customparam

這是不尋常的-你會期望它以“docs.google.com”開頭，例如-但它確實說了很多“google”。不過，任何人都可以在谷歌賬戶上託管使用者內容，所以這並不難安排。

這就把我們帶到了登入頁面，可以說是最聰明的部分。它看起來就像一個谷歌登入頁面，因為，嗯，它是。就谷歌而言，你已經選擇在你的Gmail賬戶上安裝一個第三方擴充套件，你正在使用谷歌來授權它，就像你對Boomerang或Unroll.me這樣的合法擴充套件一樣。即使你使用的是Gmail（可能還有Chrome），谷歌也無法控制這個過程。它是透過一個名為OAuth的開放協議實現的，這個系統允許你使用Google帳戶登入Facebook或Twitter。任何人都可以**OAuth應用程式，就像任何人都可以傳送電子郵件一樣，而且沒有管理員可以僅僅因為垃圾郵件傳送者使用它來做壞事就將其從系統中趕走。

這是谷歌的一個核心戰略：擁抱開放協議，併在此基礎上構建，直到很難分辨一個協議從何處結束，另一個協議從何處開始。幾乎在公司的所有產品中都可以看到這樣的版本，最著名的是Gmail、Adwords和search，但它在這裡有特別的展示。像蘋果這樣的公司可能已經為內部產品建立了一個特殊的登入過程，但是透過OAuth登入到真正的Google文件和登入到Joe的文件閱讀器沒有什麼區別。當谷歌想要分享一些東西時，它會給你傳送一封電子郵件——不是通知或Google+彈出視窗，而是一封電子郵件。這使得你更容易選擇谷歌的服務，但同時也讓你更難判斷自己何時走出了谷歌花園。正是這種混亂使得垃圾郵件攻擊如此有效：它看起來像谷歌，所以人們信任它。

在某些方面，這是一個相對沒有牙齒的駭客。它非常嘈雜，在幾個小時內就發出了數百萬封電子郵件，所以管理員能夠很早發現它。由於Gmail擁有黑名單擴充套件的能力，該系統能夠集體遮蔽假冒的“Google Docs”擴充套件，而且攻擊的性質已經使垃圾郵件傳送者本人的暴露程度遠遠超過大多數惡意軟體作者。因為擴充套件透過OAuth而不是新的登入頁工作，所以也沒有跡象表明任何密碼被洩露。

但是駭客利用的更深層次的弱點是嚴重的，他們不會有任何進展。複雜的駭客組織經常使用假登入頁面作為破解賬戶的手段——最近的一次是在Podesta駭客中——而且沒有簡單的方法來阻止他們。虛擬應用程式是googleplay商店的一個長期問題，雖然Google一直在努力尋找和禁止這些應用程式，但還沒有一個全面的解決方案。我們確實有理由冒這個風險：像email和Oauth這樣的開放平臺非常重要，特別是對於那些在沒有大公司支援的情況下試圖突破的新產品和想法。但隨著公司和產品的整合，這些部門可能會讓使用者對信任什麼感到困惑，而谷歌的蛋糕戰略並沒有讓它變得更加清晰。其結果是一個系統級的安全漏洞，我們將無法很快關閉。