研究者稱，安卓一鍵登錄就等于把所有密碼都給了Gmail，Google Drive等這樣的公司。

在安卓手機中使用一鍵登錄谷歌帳戶對于黑客而言簡直是打開便利之門，Tripwire的Craig Young透露道，他還一直在曝光這種驗證方法中存在的漏洞。

這一機制又稱做“網頁登陸”，可以讓用戶將谷歌帳戶的憑證作為第三方應用驗證，而且不需要共享用戶名和密碼：在這個過程中會生成一個令牌顯示用戶的登陸詳情。

Young稱，谷歌網頁登陸系統所使用的獨特密碼可能被不良應用收集，然后再假借用戶的帳戶訪問谷歌旗下所有的服務。

為了在本月底Def Con 21黑客大會上闡述這一漏洞，Young創建了一款安卓應用，該應用會利用訪問用戶的谷歌帳戶來顯示谷歌財經的股票情況。

假設用戶授權該應用，這個應用就會發放令牌訪問用戶所要求的數據。此不良應用會將這個令牌發回給黑客，然后黑客可以將令牌粘貼到網頁對話中訪問該用戶所有的谷歌服務，Young說。

即便用戶只授權應用訪問谷歌財經，但應用卻可以無限制地訪問Gmail，Google Drive，谷歌日歷等。

用戶起初不得不給應用授予多種權限，比如訪問本地帳戶;訪問網絡;發起一個訪問finance.google.com的網頁對話——這是發布網頁可用的令牌時的最后一步。但是，如果用戶期望整合谷歌財經，那么就沒有什么能令他們感到驚奇的了。

一旦不法者擁有了有效令牌，他們就可以查看你的搜索記錄等。Young指出，如果被盜用的人恰好是谷歌行政人員，那么攻擊者可能會控制行政管理的帳戶，更改密碼，修改權限等。

但是，他們的動作必須快以至于谷歌的自動掃描可能注意不到他們的行為，但是Chocolate Factory已經著手修復這個安全漏洞了。

這個漏洞使我們深思，當便利超越了開發者特權順序的安全性時，會出現什么情況。雖然并非所有人都可以利用這個漏洞，但是這一漏洞的曝光也提醒了我們要在授權的時候三思而后行——并且要敦促谷歌這類公司盡快修補漏洞。