下單前先比價不花冤枉錢 同款圖書京東價低于抖音6折日媒感慨中國電動汽車/智駕遙遙領先:本田、日產、三菱合并也沒戲消委會吹風機品質檢測結果揭曉 徠芬獨占鰲頭 共話新質營銷力,2024梅花數(shù)據峰會圓滿落幕索尼影像專業(yè)服務 PRO Support 升級,成為會員至少需注冊 2 臺 α 全畫幅相機、3 支 G 大師鏡頭消息稱vivo加碼電池軍備競賽:6500mAh 旗艦機+7500mAh中端機寶馬M8雙門轎跑車明年年初將停產,后續(xù)無2026款車型比亞迪:2025 款漢家族車型城市領航智駕功能開啟內測雷神預告2025年首次出席CES 將發(fā)布三款不同技術原理智能眼鏡realme真我全球首發(fā)聯(lián)發(fā)科天璣 8400 耐玩戰(zhàn)神共創(chuàng)計劃iQOO Z9 Turbo長續(xù)航版手機被曝電池加大到6400mAh,搭驍龍 8s Gen 3處理器普及放緩 銷量大跌:曝保時捷將重新評估電動汽車計劃來京東參與榮耀Magic7 RSR 保時捷設計預售 享365天只換不修國補期間電視迎來換機潮,最暢銷MiniLED品牌花落誰家?美團旗下微信社群團購業(yè)務“團買買”宣布年底停運消息稱微軟正與第三方廠商洽談,試圖合作推出Xbox游戲掌機設備在海外,要再造一個京東物流?消息稱蘋果正為AirPods開發(fā)多項健康功能,包括心率監(jiān)測和溫度感應一加 Ace 5系列將搭載全新游戲助手:大幅提升游戲體驗東芝全部業(yè)務實現(xiàn)盈利,退市裁員重組后終于賺錢
  • 首頁 > 網絡安全頻道 > 云安全

    賬號更改密碼后依然可被黑客劫持,谷歌 OAuth 驗證系統(tǒng)曝“MultiLogin”重大零日漏洞

    2024年01月02日 15:46:14   來源:IT之家

      IT之家 1 月 2 日消息,安全公司 CloudSEK 日前發(fā)現(xiàn)谷歌 OAuth 賬號驗證系統(tǒng)中存在一個零日漏洞,黑客可利用過期的 cookie 數(shù)據,配合一個名為“MultiLogin”的 OAuth 端點,生成“長期有效(session)”的新 cookie,進而劫持受害者的谷歌賬號。

      據悉,MultiLogin 端點內置于谷歌 OAuth 賬號驗證系統(tǒng)中,該端點的作用是調用谷歌賬號 ID 和 auth-login token 密鑰,從而實現(xiàn)“同步”及“無縫切換賬號”功能,但谷歌的說明文件中并未提到該端點的存在。

      ▲ MultiLogin 端點,圖源 安全公司 CloudSEK 報告(下同)

      研究人員提到,利用相關漏洞的黑客主要通過獲取受害者 Chrome 瀏覽器 WebData 中的 auth-login tokens 向量及 UserData 中的 Chrome Local State 密鑰,之后利用 MultiLogin OAuth 端點欺騙谷歌驗證服務,從而成功劫持受害者賬號。

      ▲ 黑客可利用 auth-login tokens 向量及 Chrome Local State 密鑰生成可用 cookie

      CloudSEK 報告稱,市面上一款名為 Lumma 的勒索軟件便是基于這一“MultiLogin”漏洞,該軟件開發(fā)人員宣稱該勒索軟件能從受害電腦竊取“與谷歌服務有關的 cookie”,同時強調相關 cookie 長期有效,“即使用戶修改了賬號密碼也依然可用”。

      ▲ 宣揚漏洞的黑客

      IT之家查詢報告得知,Lumma 勒索軟件獲取用戶“長期有效”的 cookie 主要分為三步:

      入侵受害者設備,從受害者的 Chrome 瀏覽器記錄中提取 auth-login tokens 向量及 Chrome Local State 密鑰

      從密鑰中拆出 service(GAIA ID)及 encrypted_token 兩項關鍵數(shù)據

      利用 MultiLogin 端點生成長期可用的 cookie

      ▲ 研究人員利用 MultiLogin 端點復現(xiàn)漏洞,成功利用過期 Cookie 登陸賬號

      研究人員聲稱,Lumma 的創(chuàng)新之處在于“軟件會自行加密受害者的 GAIA ID / Token”,從而“避免黑客自家技巧被其他惡意組織模仿,也能防止被安全公司抓住馬腳”,不過 Lumma 使用 SOCKS 代理的行為還是讓安全公司抓住了蹤跡。

      安全公司表示,他們已經通知谷歌有關該漏洞遭黑客濫用的事實,并表示包含 Lumma 勒索軟件 MultiLogin 漏洞在內,如今黑客的網絡攻擊手法已“日益復雜化”。

      文章內容僅供閱讀,不構成投資建議,請謹慎對待。投資者據此操作,風險自擔。

    即時

    新聞

    明火炊具市場:三季度健康屬性貫穿全類目

    奧維云網(AVC)推總數(shù)據顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。

    企業(yè)IT

    重慶創(chuàng)新公積金應用,“區(qū)塊鏈+政務服務”顯成效

    “以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。

    3C消費

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,高能實力,創(chuàng)

    華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實質性的幫助,雙十一期間低至2799元,性價比很高,簡直是創(chuàng)作者們的首選。

    研究

    中國信通院羅松:深度解讀《工業(yè)互聯(lián)網標識解析體系

    9月14日,2024全球工業(yè)互聯(lián)網大會——工業(yè)互聯(lián)網標識解析專題論壇在沈陽成功舉辦。