示意圖,與新聞事件無關。

安全公司發現有駭客利用Google Maps的網址分享功能出現漏洞及即將關閉的短網址服務,使不知情的用戶被導向詐騙網站。

Google Maps上有項網址分享功能,可讓使用者將網址透過郵件及通訊軟體分享給友人。Sophos研究人員Mark Stockley分析近日的一次攻擊行動中,發現這項服務存在開放重導向(open redirect)漏洞,可讓攻擊者將設定的HTTP導向的目的地變更,而導向外部惡意網站。此外,另一個同出於Google的短網址服務也遭到利用。Google 3月宣佈將在明年停止goo.gl的短網址服務,可用來隱藏使用者將被導向的真實網址。

在這項攻擊中,用戶接到以為是來自友人分享的Google Maps連結,同時由於該連結使用了goo.go的短網址而不疑有他。但點下去後,用戶會被導向一個銷售減肥藥品的英語網站,其實是設立於俄羅斯的詐騙網站。

研究人員指出,駭客選擇Google Maps下手十分高明,因為Google Maps URL分享並非Google官方的重導向服務,受害者無從通報惡意網址。而且詐騙網站並未使用Google API,因此也不會有被Google檢查到的風險。開放重導向漏洞雖然不像資料隱碼(SQL Injection)、跨網站攻擊那麼嚴重,但卻十分普遍、好隱藏,對駭客來說相當好用。

此外,研究人員相信Google在2017年9月就已知道maps.app.goo.gl的漏洞。


Advertisement

更多 iThome相關內容