谷歌的 OAuth 賬號驗證系統(tǒng)是一種讓用戶可以使用谷歌賬號登錄其他網(wǎng)站和應(yīng)用的服務(wù)，但近日，一家安全公司 CloudSEK 發(fā)現(xiàn)了該系統(tǒng)中的一個嚴(yán)重漏洞，可能導(dǎo)致用戶的谷歌賬號被黑客劫持。

CloudSEK 的研究人員在測試谷歌 OAuth 系統(tǒng)時，發(fā)現(xiàn)了一個名為“MultiLogin”的端點，該端點可以讓用戶在不同的設(shè)備和瀏覽器上同步和切換谷歌賬號。然而，這個端點并沒有在谷歌的官方文檔中公開，也沒有任何安全措施來防止濫用。

研究人員發(fā)現(xiàn)，黑客可以利用這個端點，結(jié)合過期的 cookie 數(shù)據(jù)，生成一個新的 cookie，這個 cookie 可以讓黑客長期訪問用戶的谷歌賬號，即使用戶修改了密碼或啟用了雙重驗證。黑客只需要獲取用戶 Chrome 瀏覽器中存儲的 auth-login token 和 Chrome Local State 密鑰，就可以通過 MultiLogin 端點欺騙谷歌驗證服務(wù)，獲得用戶的 GAIA ID 和新的 token。

據(jù) CloudSEK 報告，已經(jīng)有一款名為 Lumma 的勒索軟件利用了這個漏洞，該軟件可以從受害者電腦中竊取與谷歌服務(wù)相關(guān)的 cookie，并將其加密發(fā)送給黑客。黑客可以利用這些 cookie 訪問受害者的谷歌賬號，并進(jìn)行各種惡意操作。Lumma 還使用了 SOCKS 代理來隱藏自己的真實 IP 地址。

CloudSEK 已經(jīng)向谷歌報告了這個漏洞，并建議用戶定期清理瀏覽器中的 cookie 數(shù)據(jù)，并使用安全軟件來防止勒索軟件的感染。CloudSEK 還警告說，這個漏洞顯示了黑客的攻擊手法越來越復(fù)雜和隱蔽，用戶和企業(yè)應(yīng)該提高警惕和防范意識。