کمیته رکن چهارم – به دنبال حملاتی که اخیراً رخ داد و با سوءاستفاده از سرویس OAuth، دسترسی به حسابهای جیمیل را در اختیار نفوذگران قرار داد، گوگل تصمیم گرفته بر روی برنامههای تحت وب که میخواهند به دادههای کاربر دسترسی داشته باشند، بازبینی انجام دهد.
به گزارش کمیته رکن چهارم،برای اجرای هرچه بهتر سیاستها برای دسترسی به دادهها از طریق واسطهای برنامهنویسی، نباید برنامهها موقعی که قصد و نیت خود را ارائه میکنند، کاربران را گمراه کنند. برای این منظور گوگل تغییراتی را در روند انتشار برنامههای ثالث، سامانههای ارزیابی خطر و صفحات رضایتنامهای که به کاربران نمایش میدهد ایجاد کرده است.
شرکت گوگل ارائهدهندهی شناسه است بهعبارت دیگر برنامهی تحت وب میتوانند برای دسترسی کاربران به برنامه از گوگل بهعنوان سازوکاری برای احراز هویت استفاده کند. این برنامهها همچنین میتوانند از واسطهای برنامهنویسی گوگل برای ارسال درخواستهای کاربر برای دادههایی که در سرویسهای گوگل ذخیره شده، استفاده کنند.
هفتهی گذشته کاربران گوگل با رایانامهی فیشینگی مواجه شدند که از آنها درخواست میکرد پروندههایی را بر روی سرویس «اسناد گوگل» بازدید کنند. کلیک بر روی این پیوند کاربر را به سمت صفحهی رضایتنامهی OAuth گوگل هدایت میکرد. در این صفحه به کاربر گفته میشد برنامهای با نام «اسناد گوگل» میخواهد به مخاطبان و حسابهای جیمیل شما دسترسی داشته باشد.
دلیل اینکه این حملات جعل آدرس بهخوبی کار میکنند این است که سازوکاری برای اینکه برنامههای شخص ثالثی که در سرویس OAuth گوگل ثبتنام کردهاند، از نامهای یکسانی مانند برنامههای خود گوگل استفاده نکنند وجود ندارد. همچنین روشی وجود ندارد تا برنامههای مخرب نتوانند در این سرویس از نام برنامههای قانونی دیگر استفاده کنند.
پس از وقوع این اتفاق، شرکت گوگل ارزیابیهای خود را بر روی برنامههای جدید قویتر کرده تا چنین برنامههای مخربی را بهتر تشخیص دهد. بنابراین توسعهدهندگان زمانیکه برنامهی جدیدی را در این سرویس ثبت میکنند و یا نام برنامههای فعلی خود را تغییر میدهند، احتمالاً پیامهای خطا را مشاهده میکنند.
در نهایت پس از ارزیابیهای امنیتی، ممکن است برنامهای نیاز داشته باشد بهطور دستی مورد بازبینی قرار بگیرد و فرآیند تأیید آن ۳ تا ۷ روز کاربری به طول انجامد. گوگل اعلام کرد تا زمانیکه این فرآیند تأیید تکمیل نشود، مجوزِ دسترسی به دادهها تصویب نشده و کاربران بجای صفحهی رضایتنامه، پیغامهای خطا را مشاهده میکنند.
در حال حاضر توسعهدهندگان برنامهها تنها در مرحلهی تست میتوانند درخواست بازبینی داشته باشند ولی گوگل اعلام کرده در آینده در مرحلهی ثبتنام برنامه نیز امکان درخواست بازبینی وجود خواهد داشت. تا زمانیکه برنامه مورد بازبینی قرار میگیرد، توسعهدهندگان میتوانند در حسابهای کاربری خودشان، برنامهها را آزمایش کنند.
منبع:pcworld
