GoogleMaps网址分享漏洞使用户被导向诈骗网站

安全公司发现有骇客利用Google Maps的网址分享功能出现漏洞及即将关闭的短网址服务，使不知情的用户被导向诈骗网站。

Google Maps上有项网址分享功能，可让使用者将网址透过邮件及通讯软件分享给友人。Sophos研究人员Mark Stockley分析近日的一次攻击行动中，发现这项服务存在开放重导向（open redirect）漏洞，可让攻击者将设定的HTTP导向的目的地变更，而导向外部恶意网站。此外，另一个同出于Google的短网址服务也遭到利用。Google 3月宣布将在明年停止goo.gl的短网址服务，可用来隐藏使用者将被导向的真实网址。

在这项攻击中，用户接到以为是来自友人分享的Google Maps连结，同时由于该连结使用了goo.go的短网址而不疑有他。但点下去后，用户会被导向一个销售减肥药品的英语网站，其实是设立于俄罗斯的诈骗网站。

研究人员指出，骇客选择Google Maps下手十分高明，因为Google Maps URL分享并非Google官方的重导向服务，受害者无从通报恶意网址。而且诈骗网站并未使用Google API，因此也不会有被Google检查到的风险。开放重导向漏洞虽然不像资料隐码（SQL Injection）、跨网站攻击那么严重，但却十分普遍、好隐藏，对骇客来说相当好用。

此外，研究人员相信Google在2017年9月就已知道maps.app.goo.gl的漏洞。