|
如果您授予对假 Google 文档应用程序的访问权限,最好和最坏的情况是什么?看起来谷歌现在已经删除了该应用程序,所以如果你还没有成为受害者,那么你可能是安全的。如果您确实授予了访问权限,即使时间很短,黑 Gmail 帐户和通讯录的全部内容。但在我的专家看来,攻击者不太可能计划以恶意方式使用这些数据。因此,举例来说,如果您的电子邮件帐户中存储了密码和银行帐户登录信息(正如许多人将其作为记住并能够搜索自己的登录信息的一种方式),那么您很可能不会受到伤害,因为这只是因为这不是大多数黑客的意图。
大多数黑客只是想看看他们是否可以实施诈骗。而且,由于此新 波兰号码数据 闻报道的普遍存在,每个主要组织现在都处于高度戒备状态,并将寻找可疑登录。首先这怎么可能呢?任何软件开发人员都可以构建一个连接到用户的 Google 帐户并管理数据的应用程序。事实上, 就是这样一个应用程序,我的另一个 Gmail 扩展程序 Wordzen 也是如此。只需在 Google 开发者控制台上创建一个应用程序,创建一个 OAuth 登录,然后让人们单击一个链接,将 OAuth 访问权限从该应用程序授予您的 Google 帐户。开发人员可以指定他希望他的应用程序请求哪些权限,在这种情况下,假冒的 Google 文档应用程序请求管理您的邮件和管理您的联系人的权限。
上周,一个类似的广为流传的故事被曝光,当时 Unroll.me 正在向 Uber 出售用户数据。 Unroll.me 使用与此恶意应用程序相同的 OAuth 机制访问您的 Gmail 帐户。更多资源 今天每个主要的技术博客都在报道这个故事,但是没有一个像我在帖子中那样彻底地做到这一点!尽管如此,请在 Gizmodo、TechCrunch 和 The Verge 上阅读有关该骗局的更多信息。更新 更新:PM CST:Google 已删除该应用程序。这意味着,如果您还没有被欺骗,那么您就是安全的,除非出现山寨应用程序。更新:PM CST:如果您在 Gmail 或 G Suite 帐户中收到该电子邮件,Google 现在会将该邮件标记为危险邮件,并已禁用该链接。
| 
发表于