谷歌将审查希望访问其用户数据的Web应用程序
为了回应最近的攻击,黑客滥用谷歌的oauth服务获得Gmail帐户的访问,该公司将审查请求Google用户的新Web应用程序“数据。
为了更好地通过其API(应用程序编程接口)来执行关于访问用户数据的策略,这些政策通过其API(应用程序编程接口),该应用程序在呈现自己及其意图时不应误导用户,Google正在更改第三方应用出版过程,其风险评估系统和所展示给用户的同意页。
谷歌是一个身份提供商,这意味着其他Web应用程序可以使用Google作为访问该应用的用户的身份验证机制。应用程序使用OAuth协议执行此操作。这些应用程序还可以使用Google“S API向用户发送存储在Google服务中的信息请求。
上周,大量用户接收了一个精心设计的网络钓鱼电子邮件,要求他们在Google文档中查看文档。单击链接将其重定向到Google OAuth同意书页,表示称为Google文档的应用程序希望访问其联系人和Gmail帐户。
这种欺骗攻击的原因是没有机制可以防止注册到谷歌的oauth服务的第三方应用程序从使用与谷歌自己的应用程序之一的同名 - 或另一个合法的第三方的名称应用程序。
自攻击以来,谷歌加强了对新应用的风险评估,并更改了更好的改变,以更好地检测这种滥用。因此,App开发人员可能会在注册新的应用程序或修改Google API控制台中的现有应用程序时,您在Google API控制台或应用程序脚本编辑器中进行错误消息,因此Google Identity团队在博客文章中表示。
在此之内,根据增强风险评估的结果,一些Web应用程序需要接受手动审查和批准过程,可能需要三到七个工作日。
“在审核完成之前,用户将无法批准数据权限,我们将显示一条错误消息而不是权限同意页面,”Google Identity团队表示。
目前,开发人员只能在申请测试阶段申请审查,但在未来,谷歌还将允许在登记阶段期间审核请求。
在审核应用程序之前,开发人员将能够使用自己的帐户继续测试其应用,并添加其他测试人员。