账号更改密码后依然可被黑客劫持，谷歌 OAuth 验证系统曝“MultiLogin”重大零日漏洞

图片地址：https://img.ithome.com/newsuploadfiles/2024/1/625ab556-b8fa-4530-b81c-42b6b45f9821.png?x-bce-process=image/format,f_auto

IT之家 1 月 2 日消息，安全公司 CloudSEK 日前发现谷歌 OAuth 账号验证系统中存在一个零日漏洞，黑客可利用过期的 cookie 数据，配合一个名为“MultiLogin”的 OAuth 端点，生成“长期有效（session）”的新 cookie，进而劫持受害者的谷歌账号。据悉，MultiLogin 端点内置于谷歌 OAuth 账号验证系统中，该端点的作用是调用谷歌账号 ID 和 auth-login token 密钥，从而实现“同步”及“无缝切换账号”功能，但谷歌的说明文件中并未提到该端点的存在。▲ MultiLogin 端点，图源 安全公司 CloudSEK 报告（下同）研究人员提到，利用相关漏洞的黑客主要通过获取受害者 Chrome 浏览器 WebData 中的 auth-lo