Det er en phishing-ordning, som endda multifaktor-godkendelse og ændring af dit kodeord ikke løser.

På onsdag spredte et massivt Google-phishing-angreb på Gmail, kapring folks konti og spammede sig til ofrenes kontaktlister. Google lukker hurtigt angrebet, hvilket ramte omkring 0, 1 procent af Gmails brugere.

Selv ved det lave antal, med omkring 1 milliard Gmail-brugere, er der stadig mindst 1 million mennesker i fare. Og den typiske phishing-detektering, som Gmail tilbyder, kunne ikke blokere det, fordi angrebet ikke engang havde ofre for at skrive deres adgangskoder.

Phishing-svindelen stod på OAuth-udnyttelse, et sjældent system, der udsatte sig for verden på onsdag. OAuth, som står for Open Authorization, lader apps og tjenester "tale" til hinanden uden at logge ind på dine konti. Tænk på, hvordan din Amazon Alexa kan aflæse dine Google Kalender-begivenheder, eller hvordan dine Facebook-venner kan se, hvilken sang du lytter til på Spotify. I de sidste tre år har apps, der bruger OAuth, hoppet fra 5.500 til 276.000, ifølge Cisco Cloudlock.

"Nu da denne teknik er almindeligt kendt, er det sandsynligvis at udgøre et stort problem - der er så mange onlinetjenester, der bruger OAuth, og det er svært for dem at fuldt ud opdager alle tredjeparts applikationer derude, " sagde Greg Martin, Administrerende direktør for cybersecurity firma Jask, i en email.

Hvordan udnyttede Google Dokumenter sig forskelligt fra typiske phishing-angreb?

Et typisk phishing-angreb fylder en hjemmeside, der er beregnet til at narre dig ind i at indtaste dit kodeord, sende følsomme oplysninger til tyven eller logge den i en database.

Med OAuth udnytter, som i tilfældet med Google Docs-fidus, kan konti blive kapret uden at brugeren skriver i noget. I Google Docs-ordningen oprettede angriberen en falsk version af Google Dokumenter og bad om tilladelse til at læse, skrive og få adgang til offerets e-mails.

Ved at give tilladelse til OAuth-udnyttelsen har du effektivt givet de onde gutter adgang til din konto uden at have brug for et kodeord.

Hvorfor kan jeg ikke bare ændre mit kodeord?

OAuth fungerer ikke via adgangskoder, det virker gennem tilladelsesmønstre. Hvis en adgangskode er en nøgle, der låser din kontos døre, er OAuth en dørmand, der har nøglerne, og som bliver narret til at lade andre mennesker komme ind.

Du skulle nødt til at tilbagekalde tilladelserne for at sparke de ubudne.

Hvorfor stopper multifactor-godkendelse ikke OAuth-udnyttelser?

Multifaktor-godkendelser fungerer ved at bede dig om at indtaste en sikkerhedskode, når du prøver at logge ind via et kodeord.

Igen, i denne udnyttelse er adgangskoder ikke adgangspunktet. Så når hackere bruger OAuth-udnyttelser, behøver de ikke at indtaste et kodeord - offeret duped til at give tilladelse allerede gjorde.

"Programmerne selv er ikke forpligtet til at have en anden faktor, når brugeren har givet tilladelser", ifølge Ciscos forskning.

Så hvad skal jeg gøre, hvis jeg faldt for noget som Gmail-phishing-svindel?

Heldigvis er rettelsen nemmere at håndtere end hvis du faldt til en standard phishing-udnyttelse. I Googles tilfælde kan du tilbagekalde tilladelserne ved at gå til //myaccount.google.com/permissions. Hvis den falske app lukkes, som Google gjorde med hoax Google Docs, vil tilladelsen også automatisk blive tilbagekaldt.

For andre tjenester, der bruger OAuth, er det måske ikke så simpelt. De fleste tjenester, der er afhængige af OAuth, vil have en side, hvor du kan administrere dine tilladelser, som Twitter's Applications-side. På Android 6.0-enheder kan du tilbagekalde tilladelser i Application Manager i dine indstillinger.

Desværre er der hundredvis af apps, der bruger OAuth, og ikke nok tid til de fleste til at finde alle tilladelsessiden for dem.

CNET Magazine: Tjek et udsnit af de historier, du finder i CNETs kioskudgave.

Det er kompliceret: Dette er dating i en alder af apps. Har det sjovt endnu? Disse historier kommer til kernen i sagen.