Google docs包括在線文檔、電子表格和演示文稿三類。用戶可以輕易地執(zhí)行所有的基本操作，包括編制項目列表、按列排序、添加表格/圖像/注釋/公式、更改字體，還有更多操作。它是完全免費的。

但是最近一名黑客演示了攻擊Google docs，成功的完成了欺騙用戶，獲取了他們的Facebook、Gmail、雅虎憑證與信用卡信息。

安全研究人員克里斯蒂·菲利普·馬修想出點擊劫持和在Google docs”CSRF漏洞”。允許黑客創(chuàng)建一個文檔對受害者的推動進一步的釣魚攻擊。

關于點擊劫持：簡單的說就是你點擊鼠標的行為被人給控制了。

1、點擊劫持是一種惡意攻擊技術，用于跟蹤網(wǎng)絡用戶，獲取其私密信息或者通過讓用戶點擊看似正常的網(wǎng)頁來遠程控制其電腦。很多瀏覽器和操作平臺都有這樣的漏洞。

2、點擊劫持技術可以用嵌入代碼或者文本的形式出現(xiàn)，在用戶毫不知情的情況下完成攻擊，比如點擊一個表面顯示是“播放”某個視頻的按鈕，而實際上完成的操作卻是將用戶的社交網(wǎng)站個人信息改為“公開”狀態(tài)。

3、點擊劫持這個詞首次出現(xiàn)在2008年，是由互聯(lián)網(wǎng)安全專家羅伯特·漢森和耶利米·格勞斯曼首創(chuàng)的，這個詞其實是“點擊”（click）和“劫持”（hijacking）兩個詞組合而成的?？死锼沟?middot;菲利普·馬修解釋了如何執(zhí)行這項技術可以控制一個谷歌用戶竊取受害人的所有類型的憑證與釣魚攻擊。

試驗性的利用兩個谷歌帳號扮演 “攻擊者和受害者”，攻擊者需要發(fā)一份惡意URL給受害者,受害者只需要一點擊惡意URL。漏洞允許黑客誘騙谷歌用戶創(chuàng)建一個文檔在受害者的文檔列表里。

當然執(zhí)行一個成功的網(wǎng)絡釣魚攻擊,攻擊者可以精心制作惡意文件。

視頻：

受害人可能會相信這是一個谷歌客服默認發(fā)送的文件或谷歌服務，攻擊者可以偷偷保存所有類型的個人信息。因為攻擊者和受害者,都是這個新文件的擁有者,攻擊者可以打開文件進

行訪問，然后將刪除他自己對該文件的所有權。最后,受害者只是文檔的所有者(“公開”狀態(tài)),黑客將能夠看到所有遠程更新- – - – -任何地方任何時候！

記錄：

漏洞往往是不固定的，但我們敦促谷歌盡快解決這個問題，以確保谷歌用戶的最大的安全性。

現(xiàn)在并沒有谷歌“GooPass“服務，“GooPass“這個詞是只是用來欺騙受害者以進行網(wǎng)絡釣魚。