谷歌近日修復了一個點擊劫持漏洞,攻擊者可利用該漏洞恢復或者刪除Gmail對話、刪除YouTube播放列表、掌控Google+賬戶等等。
百科:點擊劫持
這個詞首次出現(xiàn)在2008年,是由互聯(lián)網(wǎng)安全專家羅伯特·漢森和耶利米·格勞斯曼首創(chuàng)。簡單來說:當你打開一個網(wǎng)頁出現(xiàn)一個flash廣告框,點擊“關閉”按鈕,可結果廣告并沒有關閉,卻變成了全屏,這樣的情況在計算機安全領域叫做點擊劫持。
漏洞報告
攻擊者會創(chuàng)建一個按鈕,然后欺騙受害者點擊該按鈕,一旦受害者點擊了該按鈕,攻擊者會在幕后操縱一系列的惡意操作。
攻擊者可利用該漏洞進行的操作是:
1.刪除你YouTube的全部播放列表
2.刪除你的博客/發(fā)布的信息/評論
3.刪除郵件會話進程,恢復郵件/附件
4.得到你Google+中的活動信息和好友列表
5.基本上可以完成Google API所能完成的所有事情(developers.google.com)
在下面的例子中Yibelo向大家演示了如何利用點擊劫持漏洞刪除YouTube播放列表,以下是一些前提條件:
1.受害者之前授權過Google的應用程序編程接口(API),并且仍然允許其運行。(這樣便可以輕而易舉地對它進行操控)
2.受害者訪問我們的惡意網(wǎng)站.(點擊劫持就發(fā)生在這里)
3.受害者的播放列表ID。(可以公開獲取)
當受害者點擊執(zhí)行之后,類似下面的鏈接就會刪除播放列表的ID PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1(developers.google.com域是可以劫持的)。
https://developers.google.com/apis-explorer/#search/youtube/m/youtube/v3/youtube.playlists.delete?id=PLFJifqT2CnZUvX3VRu66wqCNq8WLzlfE1&_h=1
攻擊者會對域名進行最基本的設計,然后在頁面上放一個明顯的按鈕,例如類似于“點這贏取免費的iphone”等按鈕。然后,一旦受害者點擊了它…Duang!播放列表就消失了!
同樣的方法可以實施其他的惡意操作。
結論
谷歌于4月21日給予Paulos Yibelo 1337美元的獎金。
大家普遍認為UI修正/點擊劫持是一低危的漏洞,防護措施也非常容易,盡管如此還是有很多應用程序是被這種漏洞攻破的。不過一次輕而易舉的點擊就可使谷歌賬號被完全劫持,而簡單的X-Frame-Options就可解決這一問題。