研究者稱，安卓一鍵登錄就等于把所有密碼都給了Gmail，Google Drive等這樣的公司。

在安卓手機(jī)中使用一鍵登錄谷歌帳戶對于黑客而言簡直是打開便利之門，Tripwire的Craig Young透露道，他還一直在曝光這種驗證方法中存在的漏洞。

這一機(jī)制又稱做“網(wǎng)頁登陸”，可以讓用戶將谷歌帳戶的憑證作為第三方應(yīng)用驗證，而且不需要共享用戶名和密碼：在這個過程中會生成一個令牌顯示用戶的登陸詳情。

Young稱，谷歌網(wǎng)頁登陸系統(tǒng)所使用的獨特密碼可能被不良應(yīng)用收集，然后再假借用戶的帳戶訪問谷歌旗下所有的服務(wù)。

為了在本月底Def Con 21黑客大會上闡述這一漏洞，Young創(chuàng)建了一款安卓應(yīng)用，該應(yīng)用會利用訪問用戶的谷歌帳戶來顯示谷歌財經(jīng)的股票情況。

假設(shè)用戶授權(quán)該應(yīng)用，這個應(yīng)用就會發(fā)放令牌訪問用戶所要求的數(shù)據(jù)。此不良應(yīng)用會將這個令牌發(fā)回給黑客，然后黑客可以將令牌粘貼到網(wǎng)頁對話中訪問該用戶所有的谷歌服務(wù)，Young說。

即便用戶只授權(quán)應(yīng)用訪問谷歌財經(jīng)，但應(yīng)用卻可以無限制地訪問Gmail，Google Drive，谷歌日歷等。

用戶起初不得不給應(yīng)用授予多種權(quán)限，比如訪問本地帳戶;訪問網(wǎng)絡(luò);發(fā)起一個訪問finance.google.com的網(wǎng)頁對話——這是發(fā)布網(wǎng)頁可用的令牌時的最后一步。但是，如果用戶期望整合谷歌財經(jīng)，那么就沒有什么能令他們感到驚奇的了。

一旦不法者擁有了有效令牌，他們就可以查看你的搜索記錄等。Young指出，如果被盜用的人恰好是谷歌行政人員，那么攻擊者可能會控制行政管理的帳戶，更改密碼，修改權(quán)限等。

但是，他們的動作必須快以至于谷歌的自動掃描可能注意不到他們的行為，但是Chocolate Factory已經(jīng)著手修復(fù)這個安全漏洞了。

這個漏洞使我們深思，當(dāng)便利超越了開發(fā)者特權(quán)順序的安全性時，會出現(xiàn)什么情況。雖然并非所有人都可以利用這個漏洞，但是這一漏洞的曝光也提醒了我們要在授權(quán)的時候三思而后行——并且要敦促谷歌這類公司盡快修補漏洞。