为了应对最近的攻击,其中黑客滥用谷歌的OAuth服务,Gmail帐户来访问,该公司将审查谷歌索取用户数据的新的Web应用程序。
为了更好地执行其关于通过其API(应用编程接口),访问用户数据的政策,规定,应用程序不应该误导用户时,提出他们自己和他们的意图,谷歌正在改变第三方应用发布过程中,其风险评估系统并显示给用户的同意页。
谷歌是一个身份提供者,这意味着其他Web应用程序可以使用谷歌为用户访问应用程序的认证机制。应用程序使用OAuth协议来做到这一点。这些应用程序也可以使用谷歌的API向用户发送请求存储在谷歌的服务的信息。
上周,收到了大量用户的精心设计的钓鱼电子邮件这要求他们查看谷歌文档的文档。点击链接重定向他们到一个谷歌的OAuth批准页面提到称为谷歌文档的应用程序要访问自己的人脉和Gmail帐户。
这种欺骗攻击工作的原因是,没有机制来防止注册到谷歌的OAuth服务的第三方应用程序使用相同的名称,谷歌自己的应用程序之一 - 或其他合法的第三方应用程序的名称。
由于攻击,谷歌已经加强了风险评估新的应用程序,并能够更好地查明此类虐待做出其他改变。因此,注册新的应用程序或在谷歌API控制台,控制台火力地堡,或Google Apps脚本编辑器修改现有的应用程序时,开发者可能会看到错误消息,谷歌的身份小组表示,博客文章。
在此之上,基于增强风险评估的结果,某些Web应用程序需要进行,可能需要三到七个工作日人工审核和批准程序。
“在检讨完成后,用户将无法批准权限的数据,我们会显示错误消息,而不是许可同意页,”谷歌的身份队员说。
现在,开发者将只能在应用测试阶段,并要求审查,但在未来,谷歌还将允许在注册阶段审查请求。
直到应用程序进行审查,开发人员将能够继续使用他们自己的账号测试他们的应用程序,以及增加额外的测试。