研究者称,安卓一键登录就等于把所有密码都给了Gmail,Google Drive等这样的公司。
在安卓手机中使用一键登录谷歌帐户对于黑客而言简直是打开便利之门,Tripwire的Craig Young透露道,他还一直在曝光这种验证方法中存在的漏洞。
这一机制又称做“网页登陆”,可以让用户将谷歌帐户的凭证作为第三方应用验证,而且不需要共享用户名和密码:在这个过程中会生成一个令牌显示用户的登陆详情。
Young称,谷歌网页登陆系统所使用的独特密码可能被不良应用收集,然后再假借用户的帐户访问谷歌旗下所有的服务。
为了在本月底Def Con 21黑客大会上阐述这一漏洞,Young创建了一款安卓应用,该应用会利用访问用户的谷歌帐户来显示谷歌财经的股票情况。
假设用户授权该应用,这个应用就会发放令牌访问用户所要求的数据。此不良应用会将这个令牌发回给黑客,然后黑客可以将令牌粘贴到网页对话中访问该用户所有的谷歌服务,Young说。
即便用户只授权应用访问谷歌财经,但应用却可以无限制地访问Gmail,Google Drive,谷歌日历等。
用户起初不得不给应用授予多种权限,比如访问本地帐户;访问网络;发起一个访问finance.google.com的网页对话——这是发布网页可用的令牌时的最后一步。但是,如果用户期望整合谷歌财经,那么就没有什么能令他们感到惊奇的了。
一旦不法者拥有了有效令牌,他们就可以查看你的搜索记录等。Young指出,如果被盗用的人恰好是谷歌行政人员,那么攻击者可能会控制行政管理的帐户,更改密码,修改权限等。
但是,他们的动作必须快以至于谷歌的自动扫描可能注意不到他们的行为,但是Chocolate Factory已经着手修复这个安全漏洞了。
这个漏洞使我们深思,当便利超越了开发者特权顺序的安全性时,会出现什么情况。虽然并非所有人都可以利用这个漏洞,但是这一漏洞的曝光也提醒了我们要在授权的时候三思而后行——并且要敦促谷歌这类公司尽快修补漏洞。