賬號密碼更改后仍會被黑！曝谷歌驗證系統(tǒng)有重大漏洞

　　CloudSEK曝光了谷歌OAuth賬號驗證系統(tǒng)的一個零日漏洞。黑客可以利用過期的cookie數(shù)據(jù)，結合名為“MultiLogin”的OAuth端點，生成“長期有效（session）”的新cookie，從而操控受害者的谷歌賬號。

　　谷歌OAuth賬號驗證系統(tǒng)之中，其主要功能是調用谷歌賬號ID和auth-login token密鑰，實現(xiàn)“同步”及“無縫切換賬號”的便捷操作。然而，這一端點的存在，在谷歌的說明文件中卻未見提及。

　　研究人員指出，黑客通過攻陷受害者Chrome瀏覽器中的WebData，竊取auth-login tokens向量及UserData中的Chrome Local State密鑰，進而利用MultiLogin OAuth端點欺騙谷歌驗證服務，從而成功劫持受害者賬號。

　　CloudSEK報告稱，市面上一款名為Lumma的勒索軟件便是基于這一“MultiLogin”漏洞，該軟件開發(fā)人員宣稱該勒索軟件能從受害電腦竊取“與谷歌服務有關的 cookie”，同時強調相關cookie長期有效，“即使用戶修改了賬號密碼也依然可用”。