搜索巨头谷歌(Google)因隐私问题而饱受诟病,原因是兼职的bug猎手安德鲁•坎蒂诺(Andrew Cantino)发现了一种滥用谷歌应用程序脚本、让恶意第三方溜之大吉的简单方法。这并不是谷歌第一次与隐私问题发生冲突;今年5月,一家欧洲法院支持用户"被遗忘的权利",迫使这家搜索巨头遵守个人的合法要求,这些个人希望删除与自己名字相关的某些搜索结果。 据《华尔街日报》(Wall Street Journal)报道,这家科技公司执行董事长埃里克•施密特(Eric Schmidt)表示,该公司目前正在欧洲进行一次七城之旅,讨论"平衡信息权和个人隐私权"的决定。然而,新的脚本问题可能会限制任何善意的收益,因为谷歌正在努力打击家。和伟大的访问……作为他的日常工作,坎蒂诺担任Mavenlink的工程副总裁;在业余时间,他寻找技术漏洞。据Net Security报道,他遇到了一个大问题:Google应用程序脚本"可以针对Google属性中的用户数据发出经过身份验证的请求",其工作原理如下:用户可以在Google域中创建自定义的应用程序脚本,该脚本看起来像是真实的Google应用程序。 到证明他的观点,坎蒂诺创造了"谷歌安全升级程序"应用程序。起初,这个应用看起来完全合法,只要求访问查看和管理邮件。因为大多数用户不会质疑一个看似来自谷歌的应用,所以他们很有可能会同意这个请求,允许骗子自由运行他们的全部联系人列表,尽管在安装了一款与谷歌无关的第三方应用程序Cantino后,用户确实收到了谷歌的通知他说这是"太晚了",虽然谷歌允许他公开自己的发现,但他们说这些脚本是"按设计工作的"……是用户的责任吗?据电子前沿基金会(Electronic Frontier Foundation)称,谷歌最近将"断开手机连接"应用程序从Play store中拔出,因此也受到了热捧。这款应用程序的设计初衷正是为了防范谷歌应用程序脚本缺陷引发的第三方攻击,但仅仅过了5年,它就从虚拟货架上撤下了天。
谷歌称该应用违反了Play Store开发者发行协议第4.4条,禁止分发破坏或以其他方式干扰任何第三方服务的应用程序。问题是,其他应用程序,如防火墙和防病毒应用程序,也针对第三方应用程序。当然,断开连接也会关闭寻找更多"无辜"广告资料的应用程序,导致对谷歌动机。超越谷歌应用程序脚本对于企业来说,谷歌应用程序脚本的问题可能导致重大问题,不仅因为应用程序看起来合法,但也因为它们似乎来自可信域。公众对该漏洞的认识应有助于限制基于脚本的攻击的潜在严重性,但新的漏洞加强了信息技术监督和员工对应用程序行为认识的必要性。
极速盾致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务,全网第一款指纹识别技术防火墙,自研的WAF指纹识别架构,提供任意CC和DDoS攻击防御。 >返回列表-->
|