Google官方回應(yīng)：登錄頁面有漏洞

　　據(jù)悉，近日，英國(guó)安全研究人員Aidan Woods發(fā)現(xiàn)谷歌的登錄頁面隱藏著安全隱患。當(dāng)點(diǎn)擊登錄按鈕是，將有惡意的文件會(huì)進(jìn)行自動(dòng)下載。對(duì)此，谷歌方面已經(jīng)知曉了這個(gè)安全漏洞問題，并做出了相應(yīng)措施。

　　英國(guó)安全研究人員Aidan Woods近日在Google的登錄頁面發(fā)現(xiàn)安全隱患，當(dāng)他點(diǎn)擊登錄按鈕的時(shí)候能夠允許機(jī)智的攻擊者自動(dòng)下載惡意文件到用戶電腦上。導(dǎo)致這個(gè)問題的關(guān)鍵是Google允許在登錄頁面URL中調(diào)用了“continue=［link］”參數(shù)，這個(gè)地址能夠告訴Google服務(wù)器用戶在登錄之后重引導(dǎo)用戶到哪里。Google已經(jīng)考慮到這個(gè)參數(shù)可能會(huì)導(dǎo)致安全問題，并只能在google.com域名中的“*.google.com/*”規(guī)則使用，這里的*為通配符。

　　完整報(bào)告：Woods的博客

　　Woods表示這意味著drive.google.com或者docs.google.com都能通過這個(gè)continue這個(gè)登錄頁面的有效參數(shù)來進(jìn)行訪問。聰明的黑客甚至能夠上傳惡意文件至受害人的Google Drive或者Google Docs賬號(hào)，隱藏在官方Google登錄鏈接中。當(dāng)用戶訪問這個(gè)頁面并進(jìn)行登錄的時(shí)候，能夠在未經(jīng)用戶確認(rèn)的情況下下載文件，這些文件使用類似于“Login_Challenge.exe”或者 “Two-Factor-Authentication.exe”這樣的名稱，欺騙用戶點(diǎn)擊安裝。

　　對(duì)此Google官方回應(yīng)道：

　　感謝你提供的BUG報(bào)告并讓我們的用戶更加安全。我們已經(jīng)開始調(diào)查你提交的內(nèi)容但是我們還是非常遺憾的告訴你我們做出決定并不會(huì)當(dāng)做安全BUG進(jìn)行追蹤。你所提交的報(bào)告沒有被我們的VRP所接受。對(duì)于技術(shù)安全漏洞的報(bào)告應(yīng)該是影響機(jī)密性或用戶數(shù)據(jù)的，但是我們認(rèn)為你所提交的問題并沒有影響。

　　很多用戶表示不理解，為何谷歌并沒有對(duì)這漏洞進(jìn)行追蹤呢？也許真像谷歌自己說的那樣，技術(shù)安全漏洞的報(bào)告應(yīng)該是保密的。希望谷歌對(duì)這一安全隱患問題能夠正確的處理解決。