英国安全研究人员 Aidan Woods 近日在 Google 的登录页面发现安全隐患，当他点击登录按钮的时候能够允许机智的攻击者自动下载恶意文件到用户电脑上。导致这个问题的关键是 Google 允许在登录页面 URL 中调用了continue=[link]参数，这个地址能够告诉 Google 服务器用户在登录之后重引导用户到哪里。Google 已经考虑到这个参数可能会导致安全问题，并只能在 google.com 域名中的*.google.com/*规则使用，这里的*为通配符。

完整报告:Woods 的博客

Woods 表示这意味着 drive.google.com 或者 docs.google.com 都能通过这个 continue 这个登录页面的有效参数来进行访问。聪明的黑客甚至能够上传恶意文件至受害人的 Google Drive 或者 Google Docs 账号，隐藏在官方 Google 登录链接中。当用户访问这个页面并进行登录的时候，能够在未经用户确认的情况下下载文件，这些文件使用类似于"Login_Challenge.exe"或者 "Two-Factor-Authentication.exe"这样的名称，欺骗用户点击安装。

视频：http://www.tudou.com/v/s_2gJaFYphs/resourceId=7170904_04_02_99/v.swf

对此 Google 官方回应道:

感谢你提供的 BUG 报告并让我们的用户更加安全。我们已经开始调查你提交的内容但是我们还是非常遗憾的告诉你我们做出决定并不会当做安全 BUG 进行追踪。你所提交的报告没有被我们的 VRp 所接受。对于技术安全漏洞的报告应该是影响机密性或用户数据的，但是我们认为你所提交的问题并没有影响。

济宁IT新闻