谷歌将审查希望访问其用户数据的Web应用程序

为了回应最近的攻击，黑客滥用谷歌的oauth服务获得Gmail帐户的访问，该公司将审查请求Google用户的新Web应用程序“数据。

为了更好地通过其API（应用程序编程接口）来执行关于访问用户数据的策略，这些政策通过其API（应用程序编程接口），该应用程序在呈现自己及其意图时不应误导用户，Google正在更改第三方应用出版过程，其风险评估系统和所展示给用户的同意页。

谷歌是一个身份提供商，这意味着其他Web应用程序可以使用Google作为访问该应用的用户的身份验证机制。应用程序使用OAuth协议执行此操作。这些应用程序还可以使用Google“S API向用户发送存储在Google服务中的信息请求。

上周，大量用户接收了一个精心设计的网络钓鱼电子邮件，要求他们在Google文档中查看文档。单击链接将其重定向到Google OAuth同意书页，表示称为Google文档的应用程序希望访问其联系人和Gmail帐户。

这种欺骗攻击的原因是没有机制可以防止注册到谷歌的oauth服务的第三方应用程序从使用与谷歌自己的应用程序之一的同名 - 或另一个合法的第三方的名称应用程序。

自攻击以来，谷歌加强了对新应用的风险评估，并更改了更好的改变，以更好地检测这种滥用。因此，App开发人员可能会在注册新的应用程序或修改Google API控制台中的现有应用程序时，您在Google API控制台或应用程序脚本编辑器中进行错误消息，因此Google Identity团队在博客文章中表示。

在此之内，根据增强风险评估的结果，一些Web应用程序需要接受手动审查和批准过程，可能需要三到七个工作日。

“在审核完成之前，用户将无法批准数据权限，我们将显示一条错误消息而不是权限同意页面，”Google Identity团队表示。

目前，开发人员只能在申请测试阶段申请审查，但在未来，谷歌还将允许在登记阶段期间审核请求。

在审核应用程序之前，开发人员将能够使用自己的帐户继续测试其应用，并添加其他测试人员。