上周五,两名安全研究人员发表声明称Google的在线应用程序非常容易受到攻击。
其中一位安全研究人员Adrian在周五贴出了一份proof-of-concept代码,利用它你可以在Google的相关网页之间插入第三方网页例如一个虚假的登陆网页,这时用户的地址栏还显示在Google的域名下,用户会在不知情的情况下会输入自己的帐户密码。
在另一篇相关文章中,另一位安全研究人员Aviv Raff称,Google存在一种“跨网域网络应用程序共享安全设计漏洞”。该漏洞会影响许多应用程序,不只是Gmail,Google.com以及maps.google.com、images.google.com、news.google.com、mail.google.com都会受到攻击。
Raff在今年四月份发现这一问题后就通知了Google,Google称这一问题正在调查中。Raff说:“在这么长时间没有得到Google安全小组的任何回应后,我看到了Adrian的这篇关于proof-of-concept代码的文章,于是我决定将我的发现也贴出来,希望引起相关方面的重视,尽快使这一问题得到解决。”
关于proof-of-concept的问题,Google发言人回应说:“我们知道这一问题的存在,而且一直以来我们在设法解决这一问题。”
