如何確認Google用戶的具體電子郵件地址（已提交Google漏洞獎勵計劃）

新聞 08-17

近期我向Google報告了一個安全問題，這個漏洞將允許攻擊者確認某Web頁面的訪問者是否登錄了任意一個Google服務的賬號（包括GSuite賬號在內）。

根據我的測試結果，攻擊者可以在每25秒鐘的時間裡確認大約1000個電子郵箱賬號。但是Google方面給出的回復是：這是一個專門設計的功能，它並非是一個安全漏洞。

你可以在演示頁面自行測試該功（lou）能（dong）。

首先給大家先上一個PoC演示動圖（測試賬號是我自己的郵箱）：

方法論

我之前曾經寫過一篇關於「識別用戶是否登錄了某個社交網路」的文章，而本文所描述的攻擊方式正是之前技術的變種版本。不過恕我直言，本文將要介紹的攻擊方法影響會更加的嚴重。

Google的登錄頁面通常會在URL鏈接中傳遞一個continue參數，這個參數將負責把用戶重定向到他們完成登錄後原本需要訪問的目的地址。但是如果你已經完成的登錄的話，你將會立刻被重定向到continue參數所定義的URL地址。

這樣一來，攻擊者就可以利用這種運行機制並通過一個專門製作的URL地址來將已登錄的用戶重定向到一個圖片文件，並呈現一個偽造的登錄頁面來嘗試欺騙用戶完成登錄操作。如果你現在在img標籤的src屬性中使用這種URl地址的話，你就可以使用JavaScript的onload和onerror函數來確定圖片是否已經正確載入了。

如果圖片成功載入，說明用戶完成了登錄操作；如果圖片載入出現錯誤，則說明用戶沒有登錄。這個問題其實Google早就已經知道了，不過這種功能也有一定的局限性，並且無法造成嚴重的影響，所以Google並沒有理會。

但是這個問題並不是Google想像的那麼簡單，因為攻擊者現在還可以提供一個額外的參數來指定一個電子郵件地址。這也就意味著，如果攻擊者提供的電子郵件地址能夠與目標用戶的郵件地址相匹配，則會觸發一次重定向。

這樣一來，攻擊者就可以通過JavaScript的onload屬性來動態創建並載入一個圖片標籤（這個過程不需要將圖片對象添加到Web頁面，而且你甚至都不需要將其附加到頁面的DOM樹中），然後等待匹配完成即可。在我的測試過程中，我可以每23-24秒的時間裡檢測大約1000個電子郵箱地址。如果目標用戶登錄了你的網站並停留了幾分鐘的話，你就可以檢測好幾千個郵箱地址了。

但是現在我們需要配合一些其他的方法來收集目標用戶的部分基本信息，例如通過IP地址來了解到他們的地理位置，使用有針對性的社交廣告來收集關於他們企業網路或其他的一些基本信息等等。如果順利的話，你現在應該已經能夠動態載入一份目標地址列表了。接下來，你就可以通過本文所介紹的技術來匹配並記錄下目標用戶的郵箱地址、IP地址、地理位置、設備信息以及其他各種各樣的信息了。

現在，你就可以利用剛才所收集到的信息來發動動態網路釣魚攻擊了。

漏洞披露時間軸

2017年7月14日：我將這個問題報告給了Google的安全團隊；

2017年7月17日：該問題已被分類，並等待處理結果；

2017年7月18日：Google安全團隊與我聯繫，並詢問我關於處理該漏洞的建議；

2017年7月18日：我給他們的建議是，在電子郵件中採用某種隨機數或加鹽哈希，並且只有在哈希和郵件相匹配的情況下才允許進行重定向；

2017年7月19日：Google確認將該問題歸類為安全漏洞；

2017年7月21日：我發布了一篇文章對該漏洞進行了詳細描述；

2017年8月9日：Google團隊在經過討論之後，告訴我這是一個專門設計的功能，並表示不會將其視為一個安全問題，因此他們不會採取任何下一步操作；

總結

這種攻擊技術的確有一定的局限性，因為你必須事先獲得一份目標用戶列表。雖然Google安全團隊並不認為這是一個安全漏洞，但是我仍然非常感謝他們，感謝他們能夠對我提交的信息及時回復，他們非常的友好。

* 參考來源：tomanthony， FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM