谷歌OAuth系统被曝存在零日漏洞 黑客可劫持用户账号

谷歌的 OAuth 账号验证系统是一种让用户可以使用谷歌账号登录其他网站和应用的服务，但近日，一家安全公司 CloudSEK 发现了该系统中的一个严重漏洞，可能导致用户的谷歌账号被黑客劫持。

CloudSEK 的研究人员在测试谷歌 OAuth 系统时，发现了一个名为“MultiLogin”的端点，该端点可以让用户在不同的设备和浏览器上同步和切换谷歌账号。然而，这个端点并没有在谷歌的官方文档中公开，也没有任何安全措施来防止滥用。

研究人员发现，黑客可以利用这个端点，结合过期的 cookie 数据，生成一个新的 cookie，这个 cookie 可以让黑客长期访问用户的谷歌账号，即使用户修改了密码或启用了双重验证。黑客只需要获取用户 Chrome 浏览器中存储的 auth-login token 和 Chrome Local State 密钥，就可以通过 MultiLogin 端点欺骗谷歌验证服务，获得用户的 GAIA ID 和新的 token。

据 CloudSEK 报告，已经有一款名为 Lumma 的勒索软件利用了这个漏洞，该软件可以从受害者电脑中窃取与谷歌服务相关的 cookie，并将其加密发送给黑客。黑客可以利用这些 cookie 访问受害者的谷歌账号，并进行各种恶意操作。Lumma 还使用了 SOCKS 代理来隐藏自己的真实 IP 地址。

CloudSEK 已经向谷歌报告了这个漏洞，并建议用户定期清理浏览器中的 cookie 数据，并使用安全软件来防止勒索软件的感染。CloudSEK 还警告说，这个漏洞显示了黑客的攻击手法越来越复杂和隐蔽，用户和企业应该提高警惕和防范意识。