9月19日外电消息,Google已经承认其公共服务搜索应用程序中存在一个钓鱼攻击安全漏洞。在这个问题修复之前,Google已经阻止了对这项服务的访问。
这个安全问题是网络博客Eric Farraro上个星期四在自己的软件开发博客中公开的。Farraro说,Google公共服务搜索服务中有一个客户化代码。这个代码让大学等非盈利机构在其网站上免费安装没有广告的Google搜索功能。这个代码可用来创建由google.com域名托管的网页。
Farraro指出,诈骗分子可以利用这个代码创建一个欺骗性的Google网页,引诱消费者提供个人信息。他创建了一个假冒的“Gmail Plus”网页来展示这个问题。当不留心的访问者来到这个网页设法使用其Gmail口令登录时,这个网站会发出“你已经得到了服务”的信息。
Google上个星期五在博客中发表声明称,Google证实了这个安全漏洞的存在。Google临时关闭了公共服务搜索客户端软件的全部登录访问功能,并且延期接受新的用户。然而,目前在客户网站上的这个搜索功能还没有变化。Google称,这个服务已经安装可一个临时的补丁。永久性的补丁正在研制之中。
公共搜索服务钓鱼攻击安全漏洞是特别需要提高警惕的,因为这项服务使用了Google的地址。这个问题与今年夏季除发现的PayPal网站的安全漏洞很相似。
钓鱼攻击仍是日益增长的网络犯罪活动,尽管主要公司采用浏览器报警和插件等手段来阻止这种犯罪活动。最近的趋势表明,钓鱼攻击者正开始扩大他们的活动领域。