新的研究揭开了谷歌 "用谷歌登录 "身份验证流程的 "缺陷",该流程利用域名所有权的怪异性获取敏感数据。
"谷歌的OAuth登录并不能防止有人购买一家失败初创公司的域名,并利用它为前员工重新创建电子邮件账户,"Truffle Security公司联合创始人兼首席执行官迪伦-艾瑞(Dylan Ayrey)在周一的一份报告中说。"虽然你无法访问旧的电子邮件数据,但你可以利用这些账户登录该组织使用的所有不同的SaaS产品。"
这家总部位于旧金山的公司表示,这个问题有可能使数百万美国用户的数据面临风险,只需购买一个与失败初创公司相关的已停用域名,就可以在未经授权的情况下访问与各种应用程序(如 OpenAI ChatGPT、Slack、Notion、Zoom,甚至人力资源系统)相关的旧员工账户。"最敏感的账户包括人力资源系统,其中包含税务文件、工资单、保险信息、社会保险号等,"Ayrey 说。 "OAuth是开放授权的简称,指的是访问授权的开放标准,允许用户授权网站或应用程序访问他们在其他网站上的信息,而无需提供密码。 这是通过使用访问令牌来验证用户身份,并允许服务访问令牌指定的资源来实现的。
当使用 "Sign in with Google "登录 Slack 等应用程序时,谷歌会向服务发送一组有关用户的声明,包括他们的电子邮件地址和托管的域名,然后利用这些信息登录用户的账户。
这也意味着,如果一项服务仅仅依靠这些信息来验证用户身份,那么也就为域名所有权变更的情况敞开了大门,攻击者可能因此重新获得对旧员工账户的访问权。 Truffle 还指出,谷歌的 OAuth ID 令牌包含一个唯一的用户标识符--子标识符,理论上可以防止出现这个问题,但人们发现这个标识符并不可靠。 值得注意的是,微软的 Entra ID 令牌包含 sub 或 oid 索赔,可以为每个用户存储一个不可更改的值。
虽然谷歌最初对漏洞披露的回应是称这是有意为之,但自 2024 年 12 月 19 日以来,谷歌重新开放了漏洞报告,并向 Ayrey 颁发了 1337 美元的赏金。 同时,下游软件提供商也无法采取任何保护措施来防范谷歌 OAuth 实现中的漏洞。 黑客新闻》(The Hacker News)已联系谷歌寻求进一步的评论,如果我们收到回复,将及时更新报道。"作为个人,一旦你从一家初创公司离职,你就失去了保护你在这些账户中的数据的能力,无论初创公司和域名的未来命运如何,你都将受到影响,"Ayrey 说。 "如果用户和工作空间没有不可更改的标识符,域名所有权的变更将继续损害账户。
信息来源:https://thehackernews.com/2025/01/google-oauth-vulnerability-exposes.html