为了应对最近黑客滥用谷歌的OAuth服务来获取Gmail账户的攻击,该公司将审查新的请求谷歌用户数据的网络应用程序。
为了更好地执行其策略对访问用户数据通过api(应用程序编程接口),即应用程序不应该误导用户呈现他们自己和他们的意图时,谷歌修改第三方应用程序发布过程,其风险评估系统并同意页面显示给用户。
谷歌是一个身份提供者,这意味着其他web应用程序可以使用谷歌作为用户访问该应用程序的身份验证机制。应用程序使用OAuth协议来实现这一点。这些应用程序也可以使用谷歌的api向用户发送关于存储在谷歌服务中的信息的请求。
上周,大量用户收到了a精心策划的钓鱼邮件要求他们在谷歌文档中查看文档。点击这个链接,他们就会跳转到一个谷歌OAuth许可页面,上面写着一个名为谷歌Docs的应用程序想要访问他们的联系人和Gmail账户。
这种欺骗攻击起作用的原因是,没有机制阻止注册到谷歌的OAuth服务的第三方应用程序使用与谷歌自己的应用程序相同的名称,或者使用另一个合法的第三方应用程序的名称。
黑客攻击后,谷歌加强了对新应用的风险评估,并做出了其他改变,以更好地检测此类滥用行为。因此,应用开发者在谷歌API控制台、Firebase控制台或应用程序脚本编辑器中注册新应用程序或修改现有应用程序时,可能会看到错误消息,谷歌身份识别团队说一篇博客文章。
除此之外,根据增强的风险评估结果,一些web应用程序将需要进行手工审查和批准过程,可能需要3到7个工作日。
谷歌身份团队表示:“在审查完成之前,用户将无法批准数据权限,我们将显示错误信息,而不是权限同意页面。”
目前,开发人员只能在应用程序测试阶段请求评审,但将来,谷歌也将允许在注册阶段请求评审。
在该应用程序被审查之前,开发者可以继续使用自己的帐户测试他们的应用程序,也可以增加额外的测试人员。