账号密码更改仍会被黑！曝谷歌OAuth验证系统有重大漏洞

　　CloudSEK曝光了谷歌OAuth账号验证系统的账号一个零日漏洞。黑客可以利用过期的密码cookie数据，结合名为“MultiLogin”的更改歌OAuth端点，生成“长期有效（session）”的被黑新cookie，从而操控受害者的曝谷谷歌账号。

　　谷歌OAuth账号验证系统之中，其主要功能是系统调用谷歌账号ID和auth-login token密钥，实现“同步”及“无缝切换账号”的大漏洞便捷操作。然而，账号这一端点的密码存在，在谷歌的更改歌说明文件中却未见提及。

　　研究人员指出，黑客通过攻陷受害者Chrome浏览器中的曝谷WebData，窃取auth-login tokens向量及UserData中的验证有重Chrome Local State密钥，进而利用MultiLogin OAuth端点欺骗谷歌验证服务，系统从而成功劫持受害者账号。

　　CloudSEK报告称，市面上一款名为Lumma的勒索软件便是基于这一“MultiLogin”漏洞，该软件开发人员宣称该勒索软件能从受害电脑窃取“与谷歌服务有关的 cookie”，同时强调相关cookie长期有效，“即使用户修改了账号密码也依然可用”。

很赞哦!（8944）