谷歌OAuth漏洞导致网络钓鱼攻击 ENS开发者揭示安全隐患

2025年4月17日，据Bitcoin.com报道，ENS首席开发者Nick Johnson揭露了一起复杂的网络钓鱼攻击案例，攻击者利用了谷歌系统中的OAuth漏洞，尤其是近期已修复的安全缺陷。此类攻击的精准性和隐蔽性使得它们能够绕过常规的安全防护措施，威胁到大量用户的账户安全。

据Johnson介绍，攻击者首先通过邮件向受害者发送了一封看似来自谷歌法律部门的欺诈邮件，邮件内容声称收件人的账户涉及传票调查。这类邮件采用了真实的DKIM数字签名，并且从谷歌官方的no-reply域名发送，这使得邮件容易绕过Gmail的垃圾邮件过滤系统，增加了其欺骗性。为了进一步增加信任度，邮件中包含了一个链接，指向一个伪造的谷歌支持门户，链接的域名为sites.google.com，极大地提升了攻击的可信度。

Johnson指出，这个伪造的谷歌登录页面暴露了两个关键安全漏洞。首先，Google Sites平台允许执行任意脚本，这使得攻击者能够创建一个窃取用户凭证的页面。其次，OAuth协议本身存在设计缺陷，攻击者能够利用这一漏洞盗取用户凭证。Johnson对谷歌最初将此漏洞视为“符合设计预期”的态度表示强烈谴责，认为这一漏洞构成了严重的安全威胁。

更为糟糕的是，攻击者巧妙地利用了Google Sites的可信域名作为掩护，使得大多数用户对这个伪造页面没有足够的警惕。Google Sites本应是一个可信的平台，但在此次事件中却被滥用，导致了大规模的安全隐患。此外，Johnson还指出，Google Sites的滥用举报机制不完善，非法页面难以及时被发现和关闭，进一步延误了防范措施的实施。

在公众和安全专家的持续压力下，谷歌最终承认了这一问题，并表示计划修复OAuth协议中的缺陷。谷歌表示，他们将采取措施来加固OAuth协议的安全性，防止类似的攻击再次发生。尽管修复工作已经开始，但Johnson强调，用户在处理任何意外的法律文书时，仍需保持警惕，尤其是在输入个人凭证之前，务必核实网页的真实性，避免成为钓鱼攻击的受害者。

此次事件再次提醒了所有互联网用户，即便是大公司提供的服务和平台，也并非完全免疫于安全漏洞。尤其是在处理敏感信息和进行账户操作时，用户必须保持高度的警觉性，时刻关注可能出现的网络安全威胁。对于互联网公司来说，加强系统安全，及时修补漏洞，以及提升用户的安全意识，都是保护用户利益的关键措施。