🔵ENSのチーフデベロッパーが、Googleの公式アラートを模倣するフィッシング詐欺を可能にする脆弱性を暴露

DeThings 4月17日発、https://t.co/B7bzY2vhgGの報道によると、ENSのチーフデベロッパーであるNick Johnsonは、Googleシステムの脆弱性、特に最近修正されたOAuthの脆弱性を利用した巧妙なフィッシング攻撃を暴露しました。Johnsonの説明によると、攻撃者はまず、Googleの法務部門から送信されたかのように見える詐欺メールを送信し、受信者のアカウントが召喚状調査に関与していると偽ります。これらのメールには、本物のDKIMデジタル署名が付いており、Googleの公式no-replyドメインから送信されるため、Gmailのスパムフィルタを簡単に回避できます。Johnsonは、この詐欺の信頼性が、偽のサポートポータルへのリンクであるhttps://t.co/HP7vhtKBzbのハイパーリンクによって大幅に高まっていると指摘しています。この偽のGoogleログインページは、2つの大きなセキュリティ脆弱性を露呈しています。1つは、Google Sitesプラットフォームが任意のスクリプトの実行を許可し、犯罪者が認証情報を盗むページを作成できることです。2つ目は、OAuthプロトコル自体に欠陥があることです。

Johnsonは、Googleが当初この脆弱性を「設計どおり」と見なしたことを非難し、この脆弱性が深刻な脅威となると強調しました。さらに悪いことに、偽のポータルはhttps://t.co/HP7vhtKBzbという信頼できるドメインを隠れ蓑として利用し、ユーザーの警戒心を大幅に低下させています。さらに、Google Sitesの不正使用に関する報告メカニズムが不完全であるため、違法なページをタイムリーに閉鎖することが困難になっています。世論の圧力の下、Googleは最終的に問題の存在を認めました。Johnsonはその後、GoogleがOAuthプロトコルの欠陥を修正する計画であることを確認しました。セキュリティ専門家は、ユーザーに警戒を怠らず、予期しない法的文書には懐疑的な態度を取り、認証情報を入力する前にURLの真正性を注意深く確認するように注意を促しています。