微比恩 > 信息聚合 > 账号更改密码后依然可被黑客劫持,谷歌 OAuth 验证系统曝“MultiLogin”重大零日漏洞

账号更改密码后依然可被黑客劫持,谷歌 OAuth 验证系统曝“MultiLogin”重大零日漏洞

2024-01-02 12:57:20来源: IT之家

IT之家 1 月 2 日消息,安全公司 CloudSEK 日前发现谷歌 OAuth 账号验证系统中存在一个零日漏洞,黑客可利用过期的 cookie 数据,配合一个名为“MultiLogin”的 OAuth 端点,生成“长期有效(session)”的新 cookie,进而劫持受害者的谷歌账号。据悉,MultiLogin 端点内置于谷歌 OAuth 账号验证系统中,该端点的作用是调用谷歌账号 ID 和 auth-login token 密钥,从而实现“同步”及“无缝切换账号”功能,但谷歌的说明文件中并未提到该端点的存在。▲ MultiLogin 端点,图源 安全公司 CloudSEK 报告(下同)研究人员提到,利用相关漏洞的黑客主要通过获取受害者 Chrome 浏览器 WebData 中的 auth-lo

关注公众号
标签: 谷歌 漏洞 黑客