谷歌推出了一些新措施,以防止流氓第三方软件在Gmail、云硬盘和其他谷歌云应用程序的用户中传播。立即生效,任何需要oauth2.0访问谷歌应用程序中用户数据的第三方应用程序都将受到每天新用户总数的限制。上限将限制可以授权特定应用程序访问谷歌应用程序中用户数据的新用户数量。谷歌还限制了某些应用程序获取新用户的速度。
谷歌副产品经理Luke Camery在6月4日的博客中解释道,“这些增强的保护措施将有助于保护我们的用户,创建OAuth生态系统,让开发者能够在更安全的环境中继续成长和发展。
OAuth是一种基于令牌的标准,用于在不同的应用程序之间共享有限的受保护信息。它使用户能够授权第三方应用程序访问他们的数据,而无需任何单独的身份验证。
例如,OAuth对于用户使用其Gmail或脸书登录凭据登录第三方网站的能力至关重要。同样,OAuth允许用户允许第三方应用程序或服务(如云文件共享应用程序)访问其谷歌或其他帐户中的数据,而无需输入用户名或密码。
虽然这个标准被认为非常有用,但它也有它的缺点。例如,去年,成千上万的G Suite用户成为垃圾邮件活动的受害者,当时网络钓鱼者诱使他们使用假的谷歌文档许可证来请求访问他们的联系人列表。跟踪在线欺骗电子邮件中链接的用户将被带到合法的谷歌登录屏幕,最终他们将被授予访问流氓应用程序而不是谷歌文档的权限。
事件发生后,谷歌一直在加强对其OAuth应用环境的一些控制。例如,去年7月,该公司开始向用户发出更强烈的警告,告知他们是否可以访问他们不熟悉的应用程序。当用户试图授予对新应用程序或谷歌尚未验证为可信的应用程序的访问权限时,该公司开始显示“未经身份验证的应用程序”屏幕。
今天的公告就是基于这些保护措施,使得应用程序开发人员更难通过OAuth传播恶意应用程序。通过采取其他措施,每一个新的或未经验证的应用程序现在都将被限制在一天内可以授权访问其谷歌数据的用户数量。Camery说,配额将基于应用程序的历史、开发者的声誉以及应用程序试图访问的数据类型。配额限制了恶意应用程序开发人员可能影响的谷歌用户数量。
大多数应用程序开发人员不应该受到变更的影响。希望受到影响的开发者可以要求谷歌验证他们的应用程序,或者要求公司增加每天的配额,并解释为什么需要它。Camery表示:“我们将积极监控每个应用程序的配额使用情况,并采取积极措施联系任何应用程序接近其配额的开发人员。”