安全研究员 Youssef Sammouda 透露,当 Gmail 凭据用于登录服务时,Gmail 的 OAuth 身份验证代码使他能够利用 Facebook 中的漏洞劫持 Facebook 帐户。 这对更广泛的影响意义重大。
Sammouda 在接受 The Daily Swing 采访时解释说,他能够利用 Google OAuth 中的重定向,并将其与 Facebook 的注销、检查点和沙盒系统的元素链接起来,从而侵入帐户。 谷歌 OAuth 是亚马逊、微软、Twitter 和其他公司使用的“开放授权”标准的一部分,它允许用户使用他们已经在这些科技巨头注册的现有用户名和密码登录,从而将账户链接到第三方网站。
