原标题:Google Maps 网址分享漏洞使用户被导向诈骗网站
示意图,与新闻事件无关。
安全公司发现有骇客利用Google△Maps的网址分享功能出现漏洞及即将关闭的短网址服务,使不知情的用户被导向诈骗网站。
Google△Maps上有项网址分享功能,可让使用者将网址通过邮件及通讯软件分享给朋友。Sophos研究人员Mark△Stockley分析近日的一次攻击行动中,发现这项服务存在开放重导向(open△redirect)漏洞,可让攻击者将设定的HTTP导向的目的地变更,而导向外部恶意网站。此外,另一个同出于Google的短网址服务也遭到利用。Google△3月宣布将在明年停止goo.gl的短网址服务,可用来隐藏使用者将被导向的真实网址。
在这项攻击中,用户接到以为是来自朋友分享的Google△Maps连结,同时由于该连结使用了goo.go的短网址而不疑有他。但点下去后,用户会被导向一个销售减肥药品的英语网站,其实是设立于俄罗斯的诈骗网站。
研究人员指出,骇客选择Google△Maps下手十分高明,因为Google△Maps△URL分享并非Google官方的重导向服务,受害者无从通报恶意网址。而且诈骗网站并未使用Google△API,因此也不会有被Google检查到的风险。开放重导向漏洞虽然不像资料隐码(SQL△Injection)、跨网站攻击那么严重,但却十分普遍、好隐藏,对骇客来说非常好用。
此外,研究人员相信Google在2017年9月就已知道maps.app.goo.gl的漏洞。
相关:
Google力拼Amazon Alexa,砸钱扶植新创业者打造更多Assistant应用
图片来源: Google Google希望在AI语音助理上力拼Amazon,周三宣布一项投资方案,要出资金及多种资源扶植新创公司以Google△Assistant开发应用及硬件。Google企业开发副总裁Sanjay△Kapoor及Google产品部门副总裁Nick
Google与AWS接连封杀域前置技术,加密通讯服务Signal岌岌可危
不少国家为加强言论审查,伸手介入加密应用管制,而加密通讯软件Signal也面临这样的问题,在多国受到ISP阻挡,但通过域前置(Domain△Fronting)技术,Signal还能在受阻挡的国家使用,但是在Google停止于这些国家支援
研究:福斯与奥迪汽车含有远端存取漏洞,可让骇客窃听谈话、追踪车辆位置
图片来源: Computest 荷兰Computest的两名资安研究人员Daan△Keuper与Thijs△Alkemade日前公布了一项研究报告,指出福斯汽车(Volkswagen)旗下的Golf△GTE与Audi△A3 Sportback△e-tron所使用的车载资讯系统(In-Ve
Google测试基于Apache Airflow的流程编排服务Cloud Composer
图片来源: Google Google于本周发表了基于Apache△Airflow开源专案的Cloud△Composer流程编排服务,可用来建立、安排或监控横跨云端与就地部署资料中心间的任务流程,着眼于让需要编排流程的用户方便使用各种Google△
示意图,与新闻事件无关。 图片来源: Google 从今年5月1日起 ,若HTTPS网站所使用的SSL凭证未出现在公开的凭证透明化(Certificate△Transparency,CT)日志中,Google△Chrome浏览器就会秀出全版的警告画面,但仅