为了应对钓鱼攻击谷歌将开始清查第三方授权应用
在日常生活中我们经常通过QQ或微博快捷登录某个网站, 这种登录方式极大的提高了我们日常的网络生活。
在方便的同时应用授权也会给我们的账号带来安全风险,最典型的例子应该就是新浪微博的第三方应用授权。
之前蓝点网曾刊文称微博第三方应用授权导致微博账号无故发送广告微博或者是自动关注大量的垃圾账号等。
问题的原因则是第三方应用违规使用微博授权或者是因账号被盗导致攻击者直接操纵用户账号进行广告活动。
而在此前Google的在线文档应用 Docs 也出现了利用谷歌账号的授权登录获得用户Gmail权限传播钓鱼网址。
在这次事件中攻击者并没有直接伪造登录框让用户填写密码,而是诱导用户授予攻击者的恶意应用高级权限。
事件发生后谷歌公司立即封杀了这个第三方应用阻止钓鱼网站的传播,但最终受影响的用户也达到数百万人。
为了应对这种情况谷歌已经开始清查获得授权的第三方应用,同时使用机器学习扫描高频次传播的邮件内容。
谷歌称:我们将采取多种措施来打击这种类型的攻击,包括更新第三方的应用授权政策和反垃圾邮件系统等。
同时部署监控系统实时监控要求提供谷歌账号敏感权限的第三方应用,确保第三方应用不会将授权进行滥用。
该事件给我们的提醒:
尽管这次事件对于中国大陆的用户来说几乎是没有任何影响的,毕竟绝大多数用户压根无法使用谷歌的服务。
但同时这也给我们日常使用第三方授权登录提了个醒:平常应定期检查自己的账号授权及时清除不用的应用。
相对来说使用QQ登录和微信登录的安全性稍微高些, 因为绝大多数第三方应用都无法申请这俩的高级权限。
以腾讯QQ为例:普通开发者能申请到的权限仅为用户基本信息、读取和发送腾讯微博、读取发送 QQ 空间。
而读取和发送QQ空间内容这项权限也已经算是高级权限了,通常也只有企业开发者才能够申请到这项权限。
但新浪微博的授权相对来说就比较繁杂了,新浪微博提供的高级接口权限几乎可以完全控制用户的微博账号。
这也是前文我们提到的为什么用户的微博出现自动发送广告或者是自动关注大量的垃圾营销账号的主要原因。
而国内的授权登录网站除了腾讯QQ、微信以及新浪微博外,还有淘宝账号、百度账号以及支付宝账号等等。
因此定期清查这些网站的授权登录并删除不再使用的是必要的工作, 可惜的是绝大多数用户都不知道这事。
相关内容: