Google Maps 網址分享漏洞使用戶被導向詐騙網站

安全公司發現有駭客利用Google Maps的網址分享功能出現漏洞及即將關閉的短網址服務，使不知情的用戶被導向詐騙網站。

Google Maps上有項網址分享功能，可讓使用者將網址透過郵件及通訊軟體分享給友人。Sophos研究人員Mark Stockley分析近日的一次攻擊行動中，發現這項服務存在開放重導向（open redirect）漏洞，可讓攻擊者將設定的HTTP導向的目的地變更，而導向外部惡意網站。此外，另一個同出於Google的短網址服務也遭到利用。Google 3月宣佈將在明年停止goo.gl的短網址服務，可用來隱藏使用者將被導向的真實網址。

在這項攻擊中，用戶接到以為是來自友人分享的Google Maps連結，同時由於該連結使用了goo.go的短網址而不疑有他。但點下去後，用戶會被導向一個銷售減肥藥品的英語網站，其實是設立於俄羅斯的詐騙網站。

研究人員指出，駭客選擇Google Maps下手十分高明，因為Google Maps URL分享並非Google官方的重導向服務，受害者無從通報惡意網址。而且詐騙網站並未使用Google API，因此也不會有被Google檢查到的風險。開放重導向漏洞雖然不像資料隱碼（SQL Injection）、跨網站攻擊那麼嚴重，但卻十分普遍、好隱藏，對駭客來說相當好用。

此外，研究人員相信Google在2017年9月就已知道maps.app.goo.gl的漏洞。