پس از حملات اخیر با سوءاستفاده از سرویس OAuth، گوگل برنامههای تحت وب را برای دسترسی به دادههای کاربر مورد بازبینی قرار میدهد.
اقدام گوگل پس از سوءاستفاده از سرویس OAuth
بازبینی برنامههای تحت وب خواهان دسترسی به دادههای کاربران
وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات , 27 ارديبهشت 1396 ساعت 8:58
پس از حملات اخیر با سوءاستفاده از سرویس OAuth، گوگل برنامههای تحت وب را برای دسترسی به دادههای کاربر مورد بازبینی قرار میدهد.
پس از حملات اخیر با سوءاستفاده از سرویس OAuth، گوگل برنامههای تحت وب را برای دسترسی به دادههای کاربر مورد بازبینی قرار میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در پی حملات باجافزاری اخیر که با سوءاستفاده از سرویس OAuth، دسترسی به حسابهای جیمیل را در اختیار نفوذگران قرار داد، گوگل تصمیم گرفت بر روی برنامههای تحت وب که میخواهند به دادههای کاربر دسترسی داشتهباشند، بازبینی انجامدهد.
برای اجرای هرچه بهتر سیاستها در دسترسی به دادهها از طریق واسطهای برنامهنویسی نباید برنامهها موقعی که قصد و نیت خود را ارائهمیکنند، کاربران را گمراه سازند. برای این منظور گوگل تغییراتی را در روند انتشار برنامههای ثالث، سامانههای ارزیابی خطر و صفحات رضایتنامهای ایجاد کردهاست که به کاربران نمایش میدهد.
شرکت گوگل ارائهدهنده شناسه است؛ بهعبارت دیگر برنامه تحت وب میتوانند برای دسترسی کاربران به برنامه از گوگل بهعنوان سازوکاری برای احراز هویت استفادهکند. این برنامهها همچنین میتوانند از واسطهای برنامهنویسی گوگل برای ارسال درخواستهای کاربر برای دادههای ذخیرهشده در سرویسهای گوگل استفاده کنند.
هفته گذشته کاربران گوگل با ایمیل فیشینگی مواجه شدند که از آنها درخواست میکرد پروندههایی را بر روی سرویس «اسناد گوگل» بازدید کنند. کلیک بر روی این پیوند کاربر را به سمت صفحه رضایتنامه OAuth گوگل هدایت میکرد. در این صفحه به کاربر گفته میشد برنامهای با نام «اسناد گوگل» میخواهد به مخاطبان و حسابهای جیمیل شما دسترسی داشتهباشد.
دلیل اینکه این حملات جعل آدرس بهخوبی کار میکنند این است که سازوکاری برای استفاده از نامهای یکسان برنامههای شخص ثالث ثبتنامی در سرویس OAuth گوگل وجود ندارد. همچنین روشی وجود ندارد تا برنامههای مخرب نتوانند در این سرویس از نام برنامههای قانونی دیگر استفاده کنند.
پس از وقوع این اتفاق، شرکت گوگل ارزیابیهای خود را بر روی برنامههای جدید قویتر کرده تا چنین برنامههای مخربی را بهتر تشخیص دهد، بنابراین توسعهدهندگان زمانیکه برنامه جدیدی را در این سرویس ثبت میکنند و یا نام برنامههای فعلی خود را تغییر میدهند، احتمالاً پیامهای خطا را مشاهده میکنند.
درنهایت پس از ارزیابیهای امنیتی، ممکن است برنامهای نیاز داشتهباشد بهطور دستی مورد بازبینی قرار بگیرد و فرآیند تأیید آن ۳ تا ۷ روز کاربری به طول انجامد. گوگل اعلام کرد تا زمانیکه این فرآیند تأیید تکمیل نشود، مجوز دسترسی به دادهها تصویب نشده و کاربران به جای صفحه رضایتنامه، پیغامهای خطا را مشاهده میکنند.
درحالحاضر توسعهدهندگان برنامهها تنها در مرحله تست میتوانند درخواست بازبینی داشتهباشند، ولی گوگل اعلام کرد در آینده در مرحله ثبتنام برنامه نیز امکان درخواست بازبینی وجود خواهد داشت. تا زمانیکه برنامه مورد بازبینی قرار میگیرد، توسعهدهندگان میتوانند در حسابهای کاربری خودشان، برنامهها را آزمایش کنند.
کد مطلب: 12679