一名Google用户发现,Google提供的公共服务搜索功能存在漏洞,可被恶意利用制造成钓鱼网站,格式为“http://www.google.com/u/xxxxx”例如:http://www.google.com/u/gplus伪装成其实并不存在的Google Gmail Plus服务页面。
在接到报告后,Google已经关闭了Public Service Search功能,并且将类似url纳入钓鱼网站范畴,如果你在安装Google工具条的Firefox中打开http://www.google.com/u/gplus页面,就会发现Google弹出钓鱼网站警告,曾经的伪造页面也不再显示。
图1:假冒Gmail Plus页面
图2:钓鱼警告