در جواب به حمله اخیر که در آن هکرها از سرویس OAuth شرکت Google استفاده کرده بودند تا به حساب کاربری Gmail آنها دسترسی پیدا کنند، شرکت در حال بررسی یک برنامه تحت وب می باشد که درخواست به اطلاعات کاربران را بررسی کند.
در راستای اجرای بهتر سیاست های خود در خصوص دسترسی به اطلاعات کاربران از طریق API ( رابط های برنامه نوسی شده نرم افزار ها )، که اعلام می نماید که برنامه ها نباید در زمان ارائه به کاربر آنها را گمراه نمایند، Google روند ارائه برنامه های ثالث را تغییر می دهد، که در آن سیستم های ارزیابی ریسک و صفحه رضایت آنها را به کاربران نمایش می دهد.
Google ارائه دهنده هویت می باشد، بدان معنا که برنامه های تحت وب دیگر می توانند برای مکانیزم احراز هویت کاربران برای دسترسی به برنامه ها از Google استفاده نمایند. برنامه ها از پروتکل OAuth استفاده می کنند. این برنامه ها همچنین می توانند از API شرکت Google استفاده کرده تا درخواست کاربر را برای اطلاعات ذخیره شده در سرویس های Google ارسال نماید.
هفته گذشته تعداد زیادی از کاربران یک ایمیل فیشینگ دریافت کرده که به شدت دقیق و درست طراحی شده و از کاربران درخواست می کرد تا یک سند را در Google Doc مشاهده نمایند. با کلیک بر روی لینک کاربران به یک صفحه دریافت رضایت منتقل شده که در آن پیغامی ظاهر شده و درخواست می کرده است که برنامه ای به نام Google Docs می خواهد به اطلاعات شماره تماس ها و حساب Gmail شما دسترسی داشته باشد.
دلیل آنکه این حمله تقلبی و جعلی کار کرده آن است که هیچ مکانیزمی برای استفاده برنامه های ثالثی که در سرویس Google OAuth ثبت نام کرده اند وجود ندارد تا از اسامی نرم افزار های خود Google استفاده نکنند.
از زمان حمله، Google سیستم ارزیابی ریسک برای برنامه های جدید را افزایش داده و تغییراتی دیگری نیز اعمال نموده تا این چنین سوء استفاده هایی را بهتر تشخیص دهد. بنابراین تیم تشخیص هویت Google می گوید ممکن است توسعه دهندگان برنامه ها به هنگام ثبت برنامه های جدید خود و یا تغییر برنامه هایی که در کنسول Google API، کنسول Firebase یا ویرایشگر اسکریپت برنامه ها وجود داشته اند، پیغام خطایی مشاهده کنند.
علاوه بر این، بر اساس نتایج به دست آمده از ارزیابی ریسک ها، بعضی از برنامه های تحت وب نیاز دارند تا تحت یک بررسی دستی و روند تصویب قرار بگیرند که می تواند از سه تا هفت روز کاری زمان ببرد.
تیم تشخیص هویت Google می گوید: ” تا زمان که بررسی تکمیل شود، کاربران نمی توانند داده ها را تائید کنند و به جای صفحه احراز هویت پیغام خطا مشاهده می کنند.”
در حال حاضر، توسعه دهندگان فقط می توانند در فاز تست برنامه درخواست بررسی دهند، اما در آینده، Google اجازه درخواست بررسی در فاز ثبت را نیز فراهم می آورد.
تا زمانی که برنامه بازبینی شود، توسعه دهندگان می توانند برنامه های خود را با حساب کاربری خود تست کنند و یا تست کنندگان دیگر را به آن اضافه کنند.