Raff表示,Google Maps中一个小小的XSS问题就可能绕过浏览器的同源政策以劫持Google、Gmail或Google Apps的账号。
两名资安研究人员Aviv Raff及Adrian Pastor上周相继指出Google Apps含有安全设计上的漏洞。
Raff在Blog中指出,使用者可以透过许多的Google子网域存取Google的多种网络应用程序,包括Google Maps、Gmail、Google Images、Google News及Google.com等,主要问题在黑客可利用这些跨网域的网络应用程序共享的安全设计漏洞。
所谓的跨网域共享网络应用程序指的是在特定的网域下可以连结其它网络应用程序,例如可在Google Maps网域下使用Google News服务。
Raff表示,因此Google Maps中一个小小的XSS问题就可能绕过浏览器的同源政策(Same Origin Policy)以劫持Google、Gmail或Google Apps的账号。
而Pastor则公布了一个相关的概念性验证程序,可用以攻击Google Images中的页框注射(frame injection)漏洞,在Google Images中嵌入一个假的Gmail登入网页,然后使用跨网域的网络应用程序共享漏洞进一步让使用者相信这是一个合法的登入页面。
Raff指出,他在今年4月就发现该漏洞并提报给Google,当时Google表示会调查该漏洞,但随后一直未收到Google的响应,随着Pastor发表该概念性验证程序,他才决定揭露相关的信息以期Google可尽速修补。