PANews는 4월 17일 Bitcoin.com에 따르면 ENS 수석 개발자 닉 존슨이 구글 시스템의 취약점, 특히 최근에 수정된 OAuth 취약점을 악용한 정교한 피싱 공격을 공개했다고 보도했습니다. 존슨에 따르면, 공격자는 먼저 구글 법무부에서 보낸 것처럼 보이는 사기성 이메일을 보냈는데, 수신자 계정이 소환 조사에 연루되어 있다는 거짓 주장이 담겨 있었습니다. 이러한 이메일은 실제 DKIM 디지털 서명을 포함하고 있으며 Google의 공식 무응답 도메인에서 발송되므로 Gmail의 스팸 필터를 쉽게 우회할 수 있습니다. 존슨은 sites.google.com의 하이퍼링크를 통해 가짜 지원 포털로 연결함으로써 사기의 신뢰성이 높아졌다고 지적했습니다. 이 가짜 Google 로그인 페이지는 두 가지 주요 보안 취약점을 노출했습니다. 하나는 Google 사이트 플랫폼이 임의의 스크립트를 실행할 수 있도록 허용하여 범죄자가 자격 증명을 훔치는 페이지를 만들 수 있다는 것입니다. 또 다른 문제는 OAuth 프로토콜 자체에 결함이 있다는 것입니다.
존슨은 구글이 이 취약점을 "설계된 대로" 처리한 것을 비난했으며, 이 취약점이 심각한 위협을 초래한다고 강조했습니다. 더 나쁜 점은, 이 가짜 포털은 신뢰할 수 있는 도메인 이름인 sites.google.com을 커버로 사용하여 사용자의 경계심을 크게 낮춘다는 것입니다. 또한, Google 사이트의 남용 신고 메커니즘이 완벽하지 않아 불법 페이지를 적시에 폐쇄하는 것이 어렵습니다. 여론의 압력에 못 이겨 구글은 결국 문제가 있음을 인정했습니다. 존슨은 나중에 구글이 OAuth 프로토콜의 결함을 수정할 계획이라고 확인했습니다. 보안 전문가들은 사용자에게 항상 경계하고, 예상치 못한 법적 문서에 대해 회의적인 태도를 취하고, 자격 증명을 입력하기 전에 URL의 진위 여부를 두 번 확인하라고 조언합니다.
