CloudSEK曝光了Google OAuth账户验证系统中的一个零日漏洞。黑客可以利用过期的cookie数据,结合名为“MultiLogin”的OAuth端点,生成一个“长期有效(session)”的新cookie,从而操纵受害者的Google账户。
在Google OAuth账户验证系统中,其主要功能是调用Google账户ID和auth-login令牌密钥,实现“同步”和“无缝账户切换”的便捷操作。但是,Google的文档中并没有提到这个端点的存在。
研究人员指出,黑客通过捕获受害者Chrome浏览器中的WebData,窃取UserData中的auth-login令牌向量和Chrome本地状态密钥,然后使用MultiLogin OAuth端点来欺骗谷歌认证服务,成功劫持了受害者的帐户。
CloudSEK报道称,市面上一款名为Lumma的勒索软件就是基于这种“多重登录”漏洞。该软件开发商声称,该勒索软件可以从受害电脑中窃取“与谷歌服务相关的cookie”,并强调相关cookie长期有效,“即使用户修改了账户密码,它们仍将可用”。
