如果你看到一封來自熟人的谷歌文件郵件,你會開啟它,對嗎?如果點選後,谷歌要求你再次登入,你會認為有什麼問題嗎?
對於無數的Gmail使用者來說,答案是否定的。昨天,一個複雜的網路釣魚攻擊席捲了整個網路,偽裝成googledocs的許可權請求。每次有人按照提示操作時,該應用程式都會進入使用者的聯絡人列表,並爆出新一輪電子郵件,造成賬戶洩露的連鎖反應。據谷歌稱,這次攻擊影響了不到0.1%的Gmail使用者,但仍有多達100萬人。儘管這個方案看起來很簡單,但實際上是一連串相互關聯的惡作劇,每一個惡作劇都是由於谷歌在一個基本開放的系統上令人放心的存在而成為可能的,並引發了人們對谷歌如何構建其產品的嚴重質疑。
為了理解這是怎麼發生的,我們需要一步一步地看看攻擊是如何運作的。targets首先看到的是這封郵件,郵件的主題是“Russell與您共享了Google Docs上的一個文件”(這實際上比Docs更接近日曆行話,它以文件本身的名稱開頭,但顯然已經足夠接近了),這封郵件顯示了一行文字(“羅素邀請你檢視以下文件”),然後是一個熟悉的谷歌藍色的“在文件中開啟”按鈕。
在技術層面上,這個連結基本上是一個“點選這裡安裝我的應用”按鈕。唯一聰明的部分是讓它看起來像別的東西。當然,任何人都可以傳送電子郵件,你幾乎可以完全控制電子郵件到達某人收件箱時的外觀。你可以阻止一個人在一個封閉的系統中偽裝資訊,比如應用商店或者私人資訊系統,但是電子郵件是一個開放的協議,就像網路本身一樣。
如果你真的很聰明,你可能會在點選連結之前檢視網址,在這種情況下你會看到:
https://accounts.google.com/o/oauth2/auth?client_id=346348828325-vlpb3e70lp89pd823qrcb9jf**u556t8.apps.googleusercontent.com&scope=https%3A%2F%2Fmail.google.com%2F+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcontacts&immediate=false&include_granted_scopes=true&resp***e_type=token&redirect_uri=https%3A%2F%2Fgoogledocs.g-cloud.pro%2Fg.php&customparam=customparam
這是不尋常的-你會期望它以“docs.google.com”開頭,例如-但它確實說了很多“google”。不過,任何人都可以在谷歌賬戶上託管使用者內容,所以這並不難安排。
這就把我們帶到了登入頁面,可以說是最聰明的部分。它看起來就像一個谷歌登入頁面,因為,嗯,它是。就谷歌而言,你已經選擇在你的Gmail賬戶上安裝一個第三方擴充套件,你正在使用谷歌來授權它,就像你對Boomerang或Unroll.me這樣的合法擴充套件一樣。即使你使用的是Gmail(可能還有Chrome),谷歌也無法控制這個過程。它是透過一個名為OAuth的開放協議實現的,這個系統允許你使用Google帳戶登入Facebook或Twitter。任何人都可以**OAuth應用程式,就像任何人都可以傳送電子郵件一樣,而且沒有管理員可以僅僅因為垃圾郵件傳送者使用它來做壞事就將其從系統中趕走。
這是谷歌的一個核心戰略:擁抱開放協議,併在此基礎上構建,直到很難分辨一個協議從何處結束,另一個協議從何處開始。幾乎在公司的所有產品中都可以看到這樣的版本,最著名的是Gmail、Adwords和search,但它在這裡有特別的展示。像蘋果這樣的公司可能已經為內部產品建立了一個特殊的登入過程,但是透過OAuth登入到真正的Google文件和登入到Joe的文件閱讀器沒有什麼區別。當谷歌想要分享一些東西時,它會給你傳送一封電子郵件——不是通知或Google+彈出視窗,而是一封電子郵件。這使得你更容易選擇谷歌的服務,但同時也讓你更難判斷自己何時走出了谷歌花園。正是這種混亂使得垃圾郵件攻擊如此有效:它看起來像谷歌,所以人們信任它。
在某些方面,這是一個相對沒有牙齒的駭客。它非常嘈雜,在幾個小時內就發出了數百萬封電子郵件,所以管理員能夠很早發現它。由於Gmail擁有黑名單擴充套件的能力,該系統能夠集體遮蔽假冒的“Google Docs”擴充套件,而且攻擊的性質已經使垃圾郵件傳送者本人的暴露程度遠遠超過大多數惡意軟體作者。因為擴充套件透過OAuth而不是新的登入頁工作,所以也沒有跡象表明任何密碼被洩露。
但是駭客利用的更深層次的弱點是嚴重的,他們不會有任何進展。複雜的駭客組織經常使用假登入頁面作為破解賬戶的手段——最近的一次是在Podesta駭客中——而且沒有簡單的方法來阻止他們。虛擬應用程式是googleplay商店的一個長期問題,雖然Google一直在努力尋找和禁止這些應用程式,但還沒有一個全面的解決方案。我們確實有理由冒這個風險:像email和Oauth這樣的開放平臺非常重要,特別是對於那些在沒有大公司支援的情況下試圖突破的新產品和想法。但隨著公司和產品的整合,這些部門可能會讓使用者對信任什麼感到困惑,而谷歌的蛋糕戰略並沒有讓它變得更加清晰。其結果是一個系統級的安全漏洞,我們將無法很快關閉。
...Spectre都是硬體級的漏洞,使得大多數PC和移動cpu容易受到攻擊。基本上,遠端攻擊者可以利用CPU處理資料的方式(以及順序)的弱點。 ...
...原因是網路安全。傳送和接收限制旨在保護您的帳戶免受垃圾郵件攻擊和多餘的自動郵件。一旦達到限制,您將無法接收任**電子郵件。所有傳入的郵件都會反彈回發件人。 ...
在過去幾年中,googledocs蠶食了微軟Office在生產力市場上的份額。可以說,更好的協作工具和一個簡單的、基於雲的介面已經讓很多人開始使用文書處理器。 ...
...遊戲,尤其是Fortnite,是攻擊者利用其安全攻擊、詐騙和垃圾郵件攻擊的主要目標。”這些經濟體是一個很好的賺錢方式,不會因為缺乏監管和經濟的細微差別而吸引太多的注意力(試著向任何一個當地執法人員描述一個“V-Buck...
...字所暗示的,一種協議降級,允許對過時的加密形式進行攻擊。這個問題在本月引起了全世界的關注,當時谷歌釋出了一篇題為“這隻獅子狗咬傷:利用ssl3.0回退”的論文。 相關:如何在Windows中連線到VPN 為了更簡單地解釋這一...
...換為谷歌文件 谷歌硬碟是兩件事。首先,它是儲存所有googledocs文件檔案的新位置。其次,它是雲中類似Dropbox的檔案儲存驅動器。這對您的儲存配額意味著什麼: googledocs格式的檔案—文件、電子表格、簡報、繪圖和表單—根本...
...的所有資料都儲存在某個伺服器上——你在Gmail上的電子郵件,Facebook上的照片,以及LastPass上的密碼。但是如果其中一個服務失敗並丟失了您的資料呢? 當然,你的資料在雲端確實更安全——谷歌、微軟和其他公司在硬碟崩潰...
埃斯帕塔攝 你是否經常檢查你的電子郵件?如果你有一段時間沒有檢視郵件,你會有戒斷症狀嗎?強迫性的電子郵件檢查是一種不健康的習慣,它使你無法做更重要的事情。使用積極的獎勵與收件箱建立更健康的關係。 電子...
...過去的幾天裡,Dogecoin一直在WallStreetBets Discord伺服器上被垃圾郵件攻擊。 比特幣也在不斷變化,在過去24小時內上漲了近20%。特斯拉執行長埃隆•馬斯克(Elon Musk)也改變了自己在Twitter上的個人資料,將比特幣納入其中,並在Tw...