Google docs包括在線文檔、電子表格和演示文稿三類(lèi)。用戶可以輕易地執(zhí)行所有的基本操作，包括編制項(xiàng)目列表、按列排序、添加表格/圖像/注釋/公式、更改字體，還有更多操作。它是完全免費(fèi)的。

但是最近一名黑客演示了攻擊Google docs，成功的完成了欺騙用戶，獲取了他們的Facebook、Gmail、雅虎憑證與信用卡信息。

安全研究人員克里斯蒂·菲利普·馬修想出點(diǎn)擊劫持和在Google docs”CSRF漏洞”。允許黑客創(chuàng)建一個(gè)文檔對(duì)受害者的推動(dòng)進(jìn)一步的釣魚(yú)攻擊。

關(guān)于點(diǎn)擊劫持：簡(jiǎn)單的說(shuō)就是你點(diǎn)擊鼠標(biāo)的行為被人給控制了。

1、點(diǎn)擊劫持是一種惡意攻擊技術(shù)，用于跟蹤網(wǎng)絡(luò)用戶，獲取其私密信息或者通過(guò)讓用戶點(diǎn)擊看似正常的網(wǎng)頁(yè)來(lái)遠(yuǎn)程控制其電腦。很多瀏覽器和操作平臺(tái)都有這樣的漏洞。

2、點(diǎn)擊劫持技術(shù)可以用嵌入代碼或者文本的形式出現(xiàn)，在用戶毫不知情的情況下完成攻擊，比如點(diǎn)擊一個(gè)表面顯示是“播放”某個(gè)視頻的按鈕，而實(shí)際上完成的操作卻是將用戶的社交網(wǎng)站個(gè)人信息改為“公開(kāi)”狀態(tài)。

3、點(diǎn)擊劫持這個(gè)詞首次出現(xiàn)在2008年，是由互聯(lián)網(wǎng)安全專家羅伯特·漢森和耶利米·格勞斯曼首創(chuàng)的，這個(gè)詞其實(shí)是“點(diǎn)擊”（click）和“劫持”（hijacking）兩個(gè)詞組合而成的?？死锼沟?middot;菲利普·馬修解釋了如何執(zhí)行這項(xiàng)技術(shù)可以控制一個(gè)谷歌用戶竊取受害人的所有類(lèi)型的憑證與釣魚(yú)攻擊。

試驗(yàn)性的利用兩個(gè)谷歌帳號(hào)扮演 “攻擊者和受害者”，攻擊者需要發(fā)一份惡意URL給受害者,受害者只需要一點(diǎn)擊惡意URL。漏洞允許黑客誘騙谷歌用戶創(chuàng)建一個(gè)文檔在受害者的文檔列表里。

當(dāng)然執(zhí)行一個(gè)成功的網(wǎng)絡(luò)釣魚(yú)攻擊,攻擊者可以精心制作惡意文件。

視頻：

受害人可能會(huì)相信這是一個(gè)谷歌客服默認(rèn)發(fā)送的文件或谷歌服務(wù)，攻擊者可以偷偷保存所有類(lèi)型的個(gè)人信息。因?yàn)楣粽吆褪芎φ?都是這個(gè)新文件的擁有者,攻擊者可以打開(kāi)文件進(jìn)

行訪問(wèn)，然后將刪除他自己對(duì)該文件的所有權(quán)。最后,受害者只是文檔的所有者(“公開(kāi)”狀態(tài)),黑客將能夠看到所有遠(yuǎn)程更新- – - – -任何地方任何時(shí)候！

記錄：

漏洞往往是不固定的，但我們敦促谷歌盡快解決這個(gè)問(wèn)題，以確保谷歌用戶的最大的安全性。

現(xiàn)在并沒(méi)有谷歌“GooPass“服務(wù)，“GooPass“這個(gè)詞是只是用來(lái)欺騙受害者以進(jìn)行網(wǎng)絡(luò)釣魚(yú)。