Đầu năm nay, Google đã bắt đầu dự án xem xét quyền truy cập của nhà phát triển bên thứ ba vào tài khoản Google thông qua việc sử dụng API. Nó đã phát hiện thấy một vi phạm bảo mật xung quanh Google+ và hiện đang đóng dịch vụ, ít nhất là đối với người tiêu dùng.
Vấn đề dài và ngắn là có một lỗ hổng bảo mật cho phép các nhà phát triển bên thứ ba truy cập vào dữ liệu tài khoản của người dùng Google+, bao gồm tên, địa chỉ email, nghề nghiệp, giới tính và tuổi — ngay cả khi tài khoản được đặt là riêng tư. . Đây không phải là đặc biệt dữ liệu nhạy cảm, nhưng bất kể, vi phạm là vi phạm.
Lỗi được phát hiện vào tháng 3 năm 2018, nhưng được cho là đã mở từ khoảng năm 2015. Để làm cho vấn đề rắc rối hơn một chút, Google chỉ giữ nhật ký dữ liệu của API cụ thể này trong hai tuần… vì vậy công ty không có cách nào biết cái nào người dùng đã bị ảnh hưởng. Tuy nhiên, có lẽ khoảng 500.000 người dùng đã có trong danh sách.
Tuy nhiên, không có bằng chứng nào cho thấy bất kỳ nhà phát triển nào thậm chí biết lỗi này tồn tại, mặc dù có 438 ứng dụng sử dụng API. Tương tự, không có bằng chứng cho thấy bất kỳ dữ liệu hồ sơ nào đã bị đánh cắp, bán hoặc sử dụng sai mục đích. Đó là tốt, tôi đoán.
Lỗi này đã được vá hai tuần sau khi được phát hiện ban đầu (Google mất hai tuần để phân tích dữ liệu trước khi vá lỗ hổng), nhưng hiện đã quyết định đóng cửa Google+ như một dịch vụ tiêu dùng. Trong một bài đăng trên blog của công ty nêu bật những phát hiện của mình, người ta nói rằng 90% tất cả các lượt truy cập trên Google+ kéo dài dưới 5 giây. Ôi!
Vì vậy, thay vì đầu tư thời gian, sức lực và tiền bạc vào một mạng lưới rõ ràng đã chết, công ty sẽ giúp họ thoát khỏi tình trạng khốn khó. Phía người tiêu dùng sẽ đóng cửa hoàn toàn vào tháng 8 năm 2019. Từ thời điểm đó trở đi, G + sẽ tiếp tục là một sản phẩm dành cho doanh nghiệp, nơi mà nhiều công ty dường như sử dụng nó rất nhiều.
Mặt khác, các quyền tài khoản chi tiết hơn sẽ khả dụng trên các tài khoản Google. Điều đó có nghĩa là thay vì chỉ cho phép truy cập vào tài khoản của bạn bằng một nút “Cho phép” đơn giản, bạn sẽ có thể chọn ứng dụng cấp quyền nào được phép truy cập vào từng dịch vụ cụ thể.
Vì vậy, ví dụ: nếu bạn đang sử dụng tài khoản Google của mình để đăng nhập vào một dịch vụ mới và nó yêu cầu quyền truy cập vào Lịch và Drive của bạn, bạn sẽ có thể cấp hoặc từ chối quyền đó trên cơ sở từng dịch vụ. Hãy coi nó giống như kiểm soát quyền của Android, chỉ dành cho tài khoản Google của bạn. Họ cũng đang hạn chế quyền truy cập của ứng dụng vào tài khoản Gmail của bạn trong tương lai, vì vậy, chỉ những ứng dụng “trực tiếp nâng cao” chức năng email (như ứng dụng email và dịch vụ sao lưu) mới có thể truy cập thư Gmail của bạn.
Cuối cùng, quyền truy cập của ứng dụng vào Nhật ký cuộc gọi và SMS trên Android sẽ bị hạn chế trong tương lai. Google Play sẽ giới hạn các loại ứng dụng được phép yêu cầu các quyền này — chỉ ứng dụng mặc định của bạn trong tình huống nhất định mới có thể truy cập thông tin này. Vì vậy, ví dụ: ứng dụng nhắn tin mặc định của bạn sẽ có quyền truy cập vào SMS và trình quay số mặc định có thể truy cập Nhật ký cuộc gọi. Nhưng các ứng dụng khác sẽ không thể.
Tất cả những thay đổi này sẽ diễn ra trong những tháng tới, cho phép người dùng kiểm soát nhiều hơn đối với dữ liệu của họ. Google cũng sẽ làm việc với các nhà phát triển để cho họ thời gian điều chỉnh các quyền cần thiết cho các ứng dụng và dịch vụ sẽ bị ảnh hưởng bởi các thay đổi.
Nguồn: Google