Google 强化 OAuth 协议以防网络钓鱼攻击

据外媒 8 日报道，黑客于近期针对 Gmail 用户伪造 Google Docs 展开大规模网络钓鱼攻击后，Google 表示将强化 OAuth 协议以防止此类事件再度发生。

OAuth 协议允许第三方应用程序在未触及用户帐号信息（如用户名与密码）时，申请获取用户资源授权。为用户资源授权提供一个安全、开放而又简易的标准。

调查显示，Gmail 用户于上周收到内含伪造 Google Docs 链接的电子邮件，其发件人源自用户所熟悉的账户名称。用户点击链接后将会跳转至要求授予 Google Docs 权限的页面，然而这并非真实的 Google Docs 页面，而是由企图获取用户权限的黑客伪造所伪造的。此外，伪造应用程序使用 Google 自身的 OAuth 协议实现访问 Gmail 账户的请求，若成功获得用户许可，程序将自动向受害者联系人发送相同钓鱼邮件。

事实上，干预美国与法国选举的黑客组织 Fancy Bear 也曾采用过同样的技术手段。据报道，此次 Google 在收到首份钓鱼邮件报告后立即进行了处理，但还是存在大量用户点击链接并下载应用程序的情况。所幸删除应用程序的方式较为简单。目前，也只有不到 0.1％ 的 Gmail 用户受到此次攻击事件的影响。

原作者：Gabriela Vatu， 译者：青楚，译审：狐狸酱
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接