一、google成为受害者?
安全研究人员于10月10日表示,Google已经修正了其网站上的一处安全缺陷,该缺陷为钓鱼式攻击、帐户挟持等攻击打开了大门。
据发现该缺陷的安全厂商Finjan公司称,这一跨站点脚本缺陷存在于Google的AdWords 广告计划和客户培训网站上。黑客可以利用该缺陷挟持Google的帐户、发动钓鱼式攻击,甚至能够在用户的计算机上下载恶意代码。
钓鱼式攻击旨在诱惑用户透露用户名、密码、信用卡详细资料、社保号等机密信息。
Finjan于上个月底向Google通报了这一缺陷,Google在30个小时内就修正了该缺陷。Finjan的副总裁莉摩尔说,Google的响应非常积极。 Google的证实说,它提前得到了警告,并修正了该缺陷。没有用户资料被泄露,我们对Finjan披露缺陷的方式表示赞同。
据Finjan称,该安全问题存在的原因是,Google网站上的表单没有对输入的数据进行验证和过滤,这使得黑客能够注入在用户计算机上运行的内容和代码。为了利用这一缺陷,黑客必须伪造一个Web 链接,并诱惑用户点击它。
莉摩尔说,这一缺陷的危险之处就在于,黑客设计的链接与真正的Google链接非常想象。
跨站点脚本缺陷非常常见。今年早些时候,Finjan在微软的Xbox 360 Web网站上发现了一个类似的缺陷。在早些时候,Finjan还发现了雅虎基于Web 的电子邮件服务中的缺陷。
Finjan开发了对网站进行扫描,发现其中缺陷的工具,它经常对流行的网站进行测试。莉摩尔指出,我们这样做的目的是鼓励厂商改进它们的产品。
在修正这一跨站点脚本缺陷后,Google Web网站被Finjan认为是安全的。莉摩尔说,我们发现,Google网站的其它部分不容易受到攻击,至少不存在跨站点脚本缺陷。我们将继续监测该网站。
二、什么是钓鱼式攻击?
钓鱼式攻击是企图通过官方外观的电子邮件,即時通訊、网站等,冒充真正需要信息的值得信任的人,欺诈性地获取敏感的个人信息(比如口令和信用卡细节)的行为。它是社会工程攻击的一种形式。
三、可能还会有更多的鱼上钩?
微软公司已经悄悄地将IE 7中的一项安全功能“后向兼容进IE 6中。
IE 7中的“微软钓鱼过滤器也将出现在IE 6中,但必须通过一个MSN Search Toolbar插件。β测试版的IE 6版插件可以在Windows XP SP2上运行,大小约为1.3MB,可供用户免费下载。
微软的经营战略经理萨曼塔表示,这一插件使用了与IE 7中相同的后端钓鱼式攻击保护技术。她说,面向每种产品的实现会略有不同,但基本技术是一样的。这二种实现都是由MSN部门的微软安全保障小组开发。
这二种实现会使用户的体现略有不同。在面向MSN Toolbar的实现中,被诱惑访问已知钓鱼式网站的IE用户将被自动地禁止在网站上输入个人资料;在面向IE 7的实现中,IE用户会被自动地带离钓鱼式攻击站点,引导到一个新网页。
这一许可自赛门铁克的反钓鱼式攻击技术,利用客户端的白名单和服务器端黑名单,判断一个网站是否要窃取用户的资料。在IE 7版的实现中,如果过滤技术被打开,用户访问的每个不在白名单中的URL都会被发送到微软的服务器进行检查;在插件版的实现中,该技术将成为可疑网站的 “预警系统,将提供二种级别的警告。
如果一个人访问的网站被肯定在钓鱼式攻击网站名单中,插件会在网页上显示一个红色警告条,并阻止用户输入个人资料。如果网站包含有钓鱼式攻击网站中常见的词语,但没有出现在黑名单中,插件会在网页上显示一个黄色警告条,警告用户这可能是一个钓鱼式攻击网站,用户可以继续访问该网站,也可以关闭浏览器。