北京
6位数字。就六个。
你手机解锁密码的长度,你常设的银行卡支付密码,也是谷歌密码管理器(Google Password Manager,GPM)保护你所有账号的最后一道防线。现在,一种叫VaultJacking的新型钓鱼攻击让这道防线形同虚设。只要在精心伪造的页面上输入那6位个人识别码(PIN),你存在谷歌密码管理器里的所有第三方登录凭据、通行密钥——瞬间全归攻击者。
这不是理论上的漏洞,而是已经有人完整演示过的、端到端的攻击链条。它不需要预先控制你的设备,也不需要植入任何恶意软件。需要的,仅仅是你上当一次。
网络安全公司Phishu的研究人员完整记录并发布了VaultJacking的攻击技术,并将其纳入PhishU攻击模拟框架。他们的报告明确指出,同步凭据保险库带来的风险被严重低估——当保险库的解锁密码被钓鱼得手,整个安全体系即刻崩盘。
攻击瞄准的,是谷歌跨设备同步通行密钥和密码的功能。这套机制原本是谷歌提供给用户的便利:一台设备登录了谷歌账号,所有保存的密码和通行密钥就能自动同步到其他设备。然而,正是这种无缝的同步体验,成了被攻击者精准利用的设计。受害者在钓鱼页面上输入谷歌密码管理器PIN的那一刻,等于主动把保险库的钥匙递了出去。
VaultJacking为什么能绕过谷歌现有的安全机制?关键在于它对谷歌安全令牌服务(Security Token Service)以及“安全层级密钥”机制的利用。用户的密码和通行密钥虽被加密存储,但解密密钥由安全层级密钥保护,而安全层级密钥本身受这6位PIN控制。一旦钓鱼页面拿到正确的PIN,攻击者就能在自己的基础设施上解锁这个安全层级密钥,解密被同步的整个保险库。
更值得警惕的是,攻击直接绕过了谷歌的“存活设备发现会话凭据”防御。这种防御设计的本意是,只有最近活跃过的可信设备才能发起敏感操作。但VaultJacking采用的策略更为狡猾:攻击者并不依赖劫持用户的会话Cookie来伪装成受害者,而是用骗取的PIN和攻击者自己持有的通行密钥,从攻击者自己的设备发起全新的认证,光明正大地注册一台新设备到受害者的安全域内。
也就是说,哪怕你的原始登录会话早就过期,哪怕谷歌的防御机制正在监控是否有异常设备接入——在这些安全检查发挥作用之前,攻击者已经用偷来的PIN完成了一整套注册和同步流程。
具体到技术实现,PhishU框架的“sync-dup”组件会启动一个全新的Chrome浏览器实例,输入骗来的PIN和攻击者控制的通行密钥,从攻击者基础设施上登录受害者的谷歌账号,然后直接将所有已同步的密码和通行密钥下载下来。谷歌Chrome浏览器359及以上版本会将通行密钥的私钥字节写入本地的通行密钥SQLite数据库,这些原始字节随同步数据一起传输,攻击者拿到的不仅仅是账号列表,而是能够直接用于认证的完整私钥材料。
这就是VaultJacking最令人不安之处。一次钓鱼,一个6位PIN。没有预先埋伏,没有长时间潜伏,没有复杂的漏洞利用链。攻击成本极低,回报却是受害者整个数字身份的全盘沦陷。你在各个网站保存的每一个登录凭据、每一个用来替代传统密码的通行密钥,在PIN泄露的那一刻,对你和对攻击者来说,都变得同样方便。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
