Google恐成為釣魚網站的跳板

國外資安研究員Aviv Raff揭露了一項應用程式跨站共享的安全疑慮。Aviv Raff在部落格中表示，許多網站服務經常提供跨越多個應用系統間的使用權限共享，違反了瀏覽器原有的單一網域使用原則。Aviv Raff認為：「這種共享方式，容易產生網站權限的控管瑕疵，會讓釣魚網站有機可趁。」

他以Google為例，多項Google提供的服務網站，例如Gmail、新聞、圖片搜尋、地圖等，彼此共享使用權限，使用者可能在無意間透過Gmail的網址，瀏覽到非Google網域中的外部惡意網址。另一位資安人員Adrian Pastor實作了一個假Gmail的釣魚網站，透過Google圖片搜尋服務的共享權限，將釣魚網站串接到Gmail網址下，使用者不易從網址中直接辨認，驗證了Aviv Raff的想法。不過，Google有另外的安全機制Browsing API，可過濾放入Google服務中的連結，可防止使用者瀏覽到惡意網站。文⊙王宏仁