北京时间8月5日晚间消息，据科技博客PCWorld报道，在拉斯维加斯举办的黑客安全大会（Defcon security conference）上，专家指出，谷歌安卓平台内置的一键谷歌授权功能允许用户在谷歌网页上、无需重复输入密码即可登录各种应用，这使得谷歌账户面临被流氓软件（rogue apps）攻击的风险。

这种功能俗称为“网页登陆（weblogin）”，通过产生一个固定的代理、直接利用在设备上已授权的账户登录谷歌网页上的应用。安全公司绊网（Tripwire）的研究员克雷格·杨（Craig Young）表示，网页登陆能提供更好的用户体验，但其却对用户个人的谷歌账户、以及谷歌应用商城账户造成潜在隐私和安全威胁。杨还展示了黑客如何利用一款流氓软件偷取用户的网页登陆代理、随后将其发回给黑客，使其能够利用这些账户侵入用户的网页浏览器、以获取该用户在谷歌应用商城、电邮、云盘（Drive）、日历、声音（Voice）以及其他谷歌服务上的信息。

杨所展示的这款流氓软件伪装成一款在谷歌Play上发布、可观看谷歌财经的股票查询应用。在安装此款应用时，其将询求用户同意以便获得直接接入设备账户、并通过此账户直接联网。在运行时，这个应用又将再次寻求用户同意、以便能够利用网页登陆功能接入URL——其中包括谷歌财经的网站finance.google.com。这第二个步骤看似并未提供实质信息，故大多数用户都会同意接受。而一旦用户同意，一个网页登陆的代理就会生成，用户便能自动登入谷歌财经的网站。与此同时，这个代理也将通过一个加密的连接被虹吸出来至黑客的服务器。

杨表示，更关键的问题在于，这个网页登陆的代理并不仅仅能登陆谷歌财经，其能够登陆所有谷歌所提供的服务。比如说，其能够让黑客进入用户的谷歌硬盘获取资料、通过电邮发邮件、在日历应用中编辑日程、接入谷歌网页搜索历史、或是存放在谷歌应用商城额敏感性的公司数据。其同时也能够接入用户在谷歌Play上的账户，并远程在用户设备上安全应用、或是在支持谷歌联合登陆（Google Federated Login）的第三方网页上登陆。

如果用户是一个公司谷歌应用商城域名的管理员，这样的攻击将会影响到该公司整蛊谷歌应用商城的运营。黑客将能够重设域名密码、创造或修改全线、邮件列表、甚至是管理者。据杨称，这样的潜在威胁已经于今年2月反馈给了谷歌，其已开始禁止一些黑客攻击后可以运行的权限。比如说，入股偶一个黑客通过网页登陆代理获得授权，其不能使用谷歌外卖（Google Takeout）服务来获得整个谷歌账户的权限，也不能增加新的谷歌应用商城用户——尽管仍旧有些方法使得后一种禁令变得无效。

杨利用其设计的应用程序展示了网页登陆代理能够很快生效，因为其采用了标准安卓API（application programming interface，应用程序界面）来获得这个代理。然而，如果应用程序利用漏洞来获得设备的根权限，其将能够在不经用户确认的情况下直接获得这个代理。研究员表示，这样的流氓软件很可能在谷歌Play里面潜伏一个月——直到有人将其视为恶意软件报告给谷歌，但在此期间，谷歌Play搜索恶意应用的服务Bouncer并不能探测出该流氓软件。即便其能够探测出该软件，Bouncer也不会将其报告为恶意软件，这就给Bouncer的有效性带来了挑战。

在这种流氓软件被报告为恶意软件之后，谷歌Play就会将其移除。如果用户仍旧尝试安装这款软件，安卓本地应用认证功能则会将其视为后门程式而屏蔽。大部分安卓防毒产品无法侦测出杨所展示的这款软件为木马程序，仅有一个私人咨询软件将这个流氓软件报告为能够接入账户的软件。

防毒厂商比特凡德（Bitdefender）的首席安全策略师亚历山德鲁·卡特琳·柯索依（Alexandru Catalin Cosoi）表示：“杨今日的演讲展示了，只要有足智多谋、肯下功夫，你便能轻易的侵入看起来保护的很好的系统。”柯索依认为，唯一能够阻止系统被侵入的方法就是增加攻击的难度，以使得第一层锁被破解之后还有一个新的锁摆在面前。弱点是经常能被找到的，所以持续性的研究毫无疑问能够提升诸如谷歌Bouncer这样的系统，使得黑客要攻击需付的代价更大。