Recursos/White Papers

Tecnologia

Google analisará aplicativos web que queiram acessar dados dos usuários

Com base em um novo processo de avaliação de risco, alguns aplicativos que desejam usar os serviços de identidade do Google devem passar por uma revisão

Cristina Deluca

Publicada em 12 de maio de 2017 às 18h48

Em resposta aos recentes ataques nos quais hackers usaram os serviços OAuth do Google para obter acesso às contas do Gmail, a empresa analisará os novos aplicativos Web que solicitarem dados de usuários.

Para reforçar a sua política de acesso aos dados de usuários através das APIs (interfaces de programação de aplicações), que afirma que os aplicativos não devem induzir os usuários ao erro, o Google está fazendo alterações no processo de publicação de aplicativos de terceiros, sistemas e páginas de consentimento exibidas para os usuários.

O Google é um provedor de identidade, o que significa que outros aplicativos da Web podem usá-lo como mecanismo de autenticação de usuários que acessem seus aplicativos, que usam o protocolo OAuth para fazer isso.

Esses aplicativos também podem usar as APIs do Google para enviar aos usuários solicitações de informações armazenadas nos serviços do Google.

Na semana passada, um grande número de usuários recebeu um e-mail de phishing bem elaborado que solicitava a exibição de um documento no Google Docs. Clicando no link, esses usuários eram redirecionados para uma página de consentimento OAuth do Google que dizia que um aplicativo chamado Google Docs queria acessar seus contatos e contas do Gmail.

O protocolo OAuth é um caminho para contas no Google, Twitter, Facebook e outros serviços se conectarem com aplicativos de terceiros. Embora não transfira nenhuma informação de senha, já que usa tokens de acesso que podem abrir a conta, o OAuth pode ser perigoso nas mãos erradas. Os hackers por trás do ataque parecem ter desenvolvido um app que aproveitava processos do Google para ter acesso às contas. 

Explorar o OAuth para ganhar acesso às contas de usuários é particularmente desonesto, uma vez que consegue escapar da necessidade de roubar as credenciais de login de uma pessoa ou mesmo uma verificação de dois passos do Google. 

A razão pela qual este ataque de spoofing funcionou é que não havia nenhum mecanismo para impedir que um aplicativo de terceiro registrado no serviço OAuth usasse o mesmo nome de um dos aplicativos do Google - ou o nome de outro aplicativo legítimo de terceiros.

 OAuth

Desde o ataque, o Google fortaleceu sua avaliação de risco para novos aplicativos e fez outras mudanças para melhor detectar esse tipo de abuso. Assim, os desenvolvedores de aplicativos podem ver mensagens de erro ao registrar novos aplicativos ou modificar os existentes no Google API Console, no Firebase Console, ou no Apps Script editor, informou a Equipe de Identidade do Google em uma postagem no blog.

Além disso, com base nos resultados da nova avaliação de risco, alguns aplicativos web precisarão ser submetidos a um processo manual de revisão e aprovação que pode levar de três a sete dias úteis.

"Até que a revisão seja concluída, os usuários não poderão aprovar as permissões de dados e exibiremos uma mensagem de erro em vez da página de autorização", diz o texto no blog.

Por enquanto, os desenvolvedores só poderão solicitar uma revisão durante a fase de teste da aplicação, mas no futuro, o Google também permitirá a revisão dos pedidos durante a fase de registro.

Até que o aplicativo seja revisado, os desenvolvedores poderão continuar testando seu aplicativo usando sua própria conta.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui