구글 오오스가 가진 근본 취약점, 구글은 아직 해결하지 못해

요약	- 구글 오오스에서 근본적인 설계 오류가 발견 되었으며, 관련 패치는 발표되지 않음 - 망한 회사의 도메인을 구입하면, 그 회사의 과거 SaaS 등에 접속 가능
내용	- 구글 오오스 설계 오류로 망한 회사의 도메인을 이용해 계정이 연동된 서비스에 로그인 가능 > 사용자를 나타내는 일련의 정보들인 클레임(Claim)을 사용해 로그인 가능 여부를 판단 > 클레임에는 사용중인 도메인과 사용자의 이메일 주소가 포함 > 이 두 가지 클레임만으로 로그인 가능 여부를 판단할 때 문제가 발생 > 도메인 소유권이 변경되었어도 도메인 이름과 이메일 주소만 같다면 로그인이 가능 > 누군가 망한 회사의 도메인을 구매할 경우, 클레임을 물려받게 되고, 이를 통해 이전 SaaS에도 로그인 가능 - 구글은 아직 패치를 발표하지 않았으며, 언제 발표될 지도 모름 > 현재로서는 해결책이 없음 > 기존 클레임 외 변하지 않는 식별자를 어떻게든 도입해야 함
기타	-

 

보안뉴스

구글 오오스가 가진 근본 취약점, 구글은 아직 해결하지 못해

Millions of Accounts Vulnerable due to Google’s OAuth Flaw ◆ Truffle Security Co.