اقدام گوگل پس از سوءاستفاده از سرویس OAuth
بازبینی برنامه‌های تحت وب خواهان دسترسی به داده‌های کاربران
کد مطلب: 12679
تاریخ انتشار : چهارشنبه ۲۷ ارديبهشت ۱۳۹۶ ساعت ۰۸:۵۸
 
پس از حملات اخیر با سوءاستفاده از سرویس OAuth، گوگل برنامه‌های تحت وب را برای دسترسی به داده‌های کاربر مورد بازبینی قرار می‌دهد.
بازبینی برنامه‌های تحت وب خواهان دسترسی به داده‌های کاربران
 
 
Share/Save/Bookmark

پس از حملات اخیر با سوءاستفاده از سرویس OAuth، گوگل برنامه‌های تحت وب را برای دسترسی به داده‌های کاربر مورد بازبینی قرار می‌دهد. 

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در پی حملات باج‌افزاری اخیر که با سوءاستفاده از سرویس OAuth، دسترسی به حساب‌های جی‌میل را در اختیار نفوذگران قرار داد، گوگل تصمیم گرفت بر روی برنامه‌های تحت وب که می‌خواهند به داده‌های کاربر دسترسی داشته‌باشند، بازبینی انجام‌دهد.

برای اجرای هرچه بهتر سیاست‌ها در دسترسی به داده‌ها از طریق واسط‌های برنامه‌نویسی نباید برنامه‌ها موقعی که قصد و نیت خود را ارائه‌می‌کنند، کاربران را گمراه سازند. برای این منظور گوگل تغییراتی را در روند انتشار برنامه‌های ثالث، سامانه‌های ارزیابی خطر و صفحات رضایت‌نامه‌ای ایجاد کرده‌است که به کاربران نمایش می‌دهد.

شرکت گوگل ارائه‌دهنده‌ شناسه است؛ به‌عبارت دیگر برنامه‌ تحت وب می‌توانند برای دسترسی کاربران به برنامه از گوگل به‌عنوان سازوکاری برای احراز هویت استفاده‌کند. این برنامه‌ها همچنین می‌توانند از واسط‌های برنامه‌نویسی گوگل برای ارسال درخواست‌های کاربر برای داده‌های ذخیره‌شده در سرویس‌های گوگل استفاده کنند.

هفته‌ گذشته کاربران گوگل با ایمیل فیشینگی مواجه شدند که از آنها درخواست می‌کرد پرونده‌هایی را بر روی سرویس «اسناد گوگل» بازدید کنند. کلیک بر روی این پیوند کاربر را به سمت صفحه رضایت‌نامه‌ OAuth گوگل هدایت می‌کرد. در این صفحه به کاربر گفته می‌شد برنامه‌ای با نام «اسناد گوگل» می‌خواهد به مخاطبان و حساب‌های جی‌میل شما دسترسی داشته‌باشد.

دلیل اینکه این حملات جعل آدرس به‌خوبی کار می‌کنند این است که سازوکاری برای استفاده از نام‌های یکسان برنامه‌های شخص ثالث ثبت‌نامی در سرویس OAuth گوگل  وجود ندارد. همچنین روشی وجود ندارد تا برنامه‌های مخرب نتوانند در این سرویس از نام‌ برنامه‌های قانونی دیگر استفاده کنند.

پس از وقوع این اتفاق، شرکت گوگل ارزیابی‌های خود را بر روی برنامه‌های جدید قوی‌تر کرده تا چنین برنامه‌های مخربی را بهتر تشخیص دهد، بنابراین توسعه‌دهندگان زمانی‌که برنامه‌ جدیدی را در این سرویس ثبت می‌کنند و یا نام برنامه‌های فعلی خود را تغییر می‌دهند، احتمالاً پیام‌های خطا را مشاهده می‌کنند.

درنهایت پس از ارزیابی‌های امنیتی، ممکن است برنامه‌ای نیاز داشته‌باشد به‌طور دستی مورد بازبینی قرار بگیرد و فرآیند تأیید آن ۳ تا ۷ روز کاربری به طول انجامد. گوگل اعلام کرد تا زمانی‌که این فرآیند تأیید تکمیل نشود، مجوز دسترسی به داده‌ها تصویب نشده و کاربران به جای صفحه‌ رضایت‌نامه، پیغام‌های خطا را مشاهده می‌کنند.

در‌حال‌حاضر توسعه‌دهندگان برنامه‌ها تنها در مرحله‌ تست می‌توانند درخواست‌ بازبینی داشته‌باشند، ولی گوگل اعلام کرد در آینده در مرحله‌ ثبت‌نام برنامه نیز امکان درخواست بازبینی وجود خواهد داشت. تا زمانی‌که برنامه مورد بازبینی قرار می‌گیرد، توسعه‌دهندگان می‌توانند در حساب‌های کاربری خودشان، برنامه‌ها را آزمایش کنند.

مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات