近日,安全研究人员Raff表示,Google Maps中的一个XSS问题,可能绕过浏览器的同源政策以劫持Google、Gmail或Google Apps帐号。
两名资安研究人员Aviv Raff及Adrian Pastor,上周相继指出Google Apps含有安全设计上的漏洞。
Raff在部落格中指出,使用者可以透过许多的Google子网域存取Google的多种网路应用程式,包括Google Maps、Gmail、Google Images、Google News及Google.com等,主要问题在骇客可利用这些跨网域的网路应用程式共享的安全设计漏洞。
所谓的跨域共享网路应用程式指的是在特定的网域下可以连结其他网路应用程式,例如可在Google Maps网域下使用Google News服务。
Raff表示,因此Google Maps中一个微小的XSS问题就可能绕过浏览器的同源政策(Same Origin Policy)以劫持Google、Gmail或Google Apps的帐号。
而Pastor则公布了一个相关的概念性验证程式,可用以攻击Google Images中的页框注射(frame injection)漏洞,在Google Images中嵌入一个假的Gmail登入网页,然后使用跨网域的网路应用程式共享漏洞进一步让使用者相信这是一个合法的登入页面。
Raff指出,他在今年4月就发现该漏洞并提报给Google,当时Google表示会调查该漏洞,但随后一直未收到Google的回应,随着Pastor发表该概念性验证程式,他才决定揭露相关的资讯以期Google可尽速修补。