Geekly articles weekly

安全周39:关于Google+的死亡

上周,谷歌宣布( 新闻 )关闭社交网络Google+,但这是非常不寻常的。 Google会毫不犹豫地关闭由于各种原因未能启动的项目。 在Google Plus推出两年后的2013年,许多公司仍然无法原谅他们拒绝支持Google Reader。

但是,Google有权:如果没有开展某些业务,那是值得的。 关闭的一个有趣原因。 就Google Reader而言,受众很小。 对于Picasa,希望专注于新的Google相册产品。 但是Google+出于安全原因而关闭,这是一个相当新鲜的论点,似乎首次将其应用于大型服务。

Google+的关闭是在冗长的博客文章中宣布的,该博客文章通常致力于保护用户数据的隐私。 出于对相同数据的保护的考虑,Google在2018年初启动了Project Strobe,该计划旨在分析可访问Google帐户的第三方应用程序。 一篇Google博客文章分享了此分析的前四个结果。

结果第一:普通用户不使用Google+(但以某种形式存在于企业中)。 该帖子承认这一点很明显:七年来,该服务尚未在用户或开发人员中流行。 他们与Google+进行互动的用户会话中有90%的持续时间不到5秒(这是什么?如何离开这里?)。


但是据Google称,这不是关闭平台的主要原因,或者至少不是唯一的原因。 审核发现,应用程序可以请求和访问Google+网络上的用户个人资料。 个人资料可能包含(或可能不是自愿的)姓名,电子邮件地址,职业,性别和年龄。 问题在于,通过API,应用程序不仅可以访问用户信息,还可以访问朋友的数据。 此外,朋友可以将一些关于自己的信息标记为非公开,但无论如何仍可以访​​问。

根据Google的说法,多达50万用户可能面临风险-显然,那些响应某些应用程序的请求而共享其信息的用户可能因此无意中泄露了有关朋友的信息。 但这只是理论上的全部,因为该公司没有找到证据表明有人通过Google+ API 确实做到了 。 确实,当有Facebook时,为什么要入侵Google+?

在了解这里发生的情况之前,我们简要回顾一下分析的其他三个结果。 结论第二:用户需要对第三方应用程序权限的更多控制。 现在,当某些服务需要访问您的Google帐户(以便登录或将某些内容上传到Google云端硬盘等)时,您可以允许访问您的个人资料,例如,但拒绝访问日历。


第三次更新:对邮件的访问越来越严格。 邮件访问一直是一个有争议的话题,因此这是Google的一项合乎逻辑的行动。 第四则新闻:在Android中,将严重减少通话和短信的访问。 现在,只有用户指定为默认呼叫和SMS的应用程序才具有完全访问权限。 从理论上讲,这是防止木马发送SMS消息的好消息,但让我们看看它的真实情况。



有了Google+,奇怪的事情出现了。 正式的Google员工:他们非常关注用户的隐私,以至于他们关闭了整个社交网络。 这是没有先例的先例,这是公司至少在口头上提到安全是停止产品工作的原因之一的第一种情况。 另一方面:事件本身很小。

让我们比较一下。 因此,雅虎窃取了十亿个帐户。 这是Equifax信用历史记录汇总器,它通过基础结构中的一个巨大漏洞, 丢失了大约一半美国人口的非常敏感的数据。 这是一个完全相似的情况:通过不安全的API,绝对离开办公室的用户从5000万Facebook用户的个人资料中下载了信息。 如果您比较一下规模,那么Yahoo,Facebook和Equifax应该在很长一段时间内被羞辱关闭。

但是没有,虽然这三家公司的声誉都受到了一定的损害,但没有发生任何事情。 雅虎以折扣价卖给了Verizon,Facebook在法庭和国会上受到拖延,安全警卫正在向第三方开发人员收紧坚果。 在丑闻中,Equifax的股价严重下跌。但是随后上升到几乎正常水平,公司的收入增加了。

我并不是要坚持关闭:几个月后,我们将没有硬件,服务和软件。 结论是:产品的安全性或更确切地说,不安全性并没有太大地影响企业或消费者的偏好。 这些行的作者向Google+声明与API的隐私无关。 Google尝试将其社交网络总体上集成到所有产品中。 因此,有一天,我发现我的智能手机有一段时间将所有照片都上传到了Google+私人相册中,尽管我似乎并没有问他(显然,我忘了取消选中某个地方的对勾)。 上周宣布的安全策略更改部分解决了同一问题。 它们使用户有机会更自觉地决定打开哪些数据以及将哪些数据保留给自己。

这不仅仅是Google+的战略缺陷。 通常,尝试将所有内容集成在一起会导致在不同技术的交界处出现漏洞。 但是在Google帖子中没有提到这个话题。 可以理解,蜜蜂公司在这里试图限制蜂蜜的收集,存储和加工。 理想情况下,作为用户,我希望对我的数据有更多的控制权,不仅是与第三方开发人员有关,而且与Google内部服务有关。 或Facebook或任何其他公司。

但是,即使在宣布重大商业决策的情况下,也提到信息安全是个好消息。 这意味着Google,Facebook和其他公司开始更加重视隐私问题。 就像最近在Facebook上的bug一样 ,两家公司都充分详细地讨论了问题和解决方法。 将来此类消息中会出现更少的政治信息和更多事实吗? 好吧,我们将继续观察。

免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。

Source: https://habr.com/ru/post/zh-CN426491/

More articles:


All Articles