腾讯科技讯 Google发现公共服务搜索应用程序出现钓鱼式漏洞,宣布在问题修复之前,禁止用户使用这种服务。
上周四,软件开发者Eric Farraro在博客上首次公布了这一问题。这名博客称,Google公共服务搜索应用程序存在的定制代码,可以使诸如大学等非赢利组织在自己的网站上安装免费广告Google搜索工具,并可以在Google网站上创建自己的主页。
垃圾邮件发送者可以利用这一漏洞,建立虚假的Google网页引诱用户透露个人信息。比如,通过建立一个Gmail Plus错误网页时,当没有防备的用户登陆时网站就会显示出“你已接受服务”的信息提示。
上周五,Google证实存在这一安全漏洞,并临时关闭了接入公共服务搜索应用程序的功能。据Google称,目前在客户网站上使用的搜索功能仍有效,并安装了临时的修复补丁,公司正在研发永久的补丁程序。
早在今年夏天,eBay网站就出现过PayPal漏洞,而Google在公共服务搜索程序就出现过钓鱼式攻击漏洞与此很类似,因为其使用真实的Google URL。许多判定欺诈域名的安全公司都把其视为合法网站。
目前,钓鱼式攻击仍是一种呈上升的网络犯罪活动,尽管网络巨头都在通过浏览器警告和增加功能来减少这一现象。最近的问题表明,钓鱼式攻击者又有新的发展。