号外！谷歌宣布封停Google＋，50万用户信息泄露

谷歌宣布即日起定期封停Google+，对用户数据漏洞进行改良与整顿。

谷歌宣布定期废止Google+。

为了改善手机体验，Google+向来允许第三方应用程序、网站和服务对其进行访问。但其成功也越发的依赖于用户数据安全性。

但自2015年起，有一个安全漏洞却使得第三方开发者可以直接访问用户个人资料数据。

当用户授权应用程序访问其公开的个人资料数据时，这个漏洞还能让开发者获取该用户好友的非公开个人资料字段。所涉及的用户数量近50万人，包括他们的全名、邮箱地址、出生日期、性别、个人照片、居住地、职业以及人脉等。

事实上，谷歌于今年3月份便发现并修补过该漏洞，但并未将此事公之于众。原因是怕取代Facebook“剑桥分析（Cambridge Analytica）”丑闻事件，成为舆论的焦点。

《华尔街日报》于今日发表报道对谷歌的行为表示谴责，并称预计谷歌于今日发布一系列隐私措施来应对该漏洞。而后没过几分钟，谷歌就其Project Strobe的调查结果发表了声明。

Project Strobe：保护用户数据、改进第三方API以及定期废止Google+

谷歌Project Strobe声明

问题发现1：创建和维护符合消费者期望的Google+产品存在重大挑战。

解决方案1：封停Google+。

多年来，谷歌收到的反馈是，希望可以更好地了解如何控制用户在Google+上分享的数据。 因此，作为Project Strobe的一部分，首要任务之一是仔细审核与Google+相关的所有API。

虽然谷歌的工程团队多年来在构建Google+方面付出了很多心血，但它并没有广泛地被消费者或开发人员的采用，并且用户与应用程序的互动也是有限的。

目前，Google+的消费者版本使用率和参与度较低：90％的Google+用户活跃时间不到5秒。

问题发现2：用户希望它们对共享的数据进行细粒度控制。

解决方案2：启动更详细的Google帐户权限，并显示在各个对话框中。

简单来说，以后用户在Google+上面对权限请求的时候，不会再是众多请求堆积在一个界面，而是在应用程序自身的对话框中，一次显示一个权限请求。对比如下图所示：

过去Google+授予权限的流程

改进后Google+授予权限的流程

问题发现3：当用户授予应用程序对其Gmail的访问权限时，他们会考虑到特定的用例。

解决方案3：限制允许的用例类型。

针对消费者Gmail API的用户数据政策正在进行更新，以限制可能获得访问消费者Gmail数据权限的应用。

只有直接增强电子邮件功能的应用程序（如电子邮件客户端，电子邮件备份服务和生产力服务（例如，CRM和邮件合并服务））才会被授权访问此数据。 此外，这些应用需要同意有关处理Gmail数据的新规则，并且需要接受安全评估。

问题发现4：当用户向Android应用程序授予SMS、联系人和电话权限时，他们会考虑到特定的用例。

解决方案4：我们限制了应用程序在Android设备上接收通话记录和短信权限，不再通过Android Contacts API提供联系人交互数据。

某些Android应用会要求获得访问用户手机（包括通话记录）和短信数据权限。 展望未来，Google Play将限制允许哪些应用请求这些权限。 只有用户选择作为默认应用程序拨打电话或短信的应用才能发出这些请求。

此外，作为Android Contacts权限的一部分，谷歌提供了基本的交互数据 - 例如，消息应用可以向用户显示最近的联系人。 在未来几个月内将删除对Android Contacts API的联系人互动数据的访问权限。

参考链接：

https://blog.google/technology/safety-security/project-strobe/

https://techcrunch.com/2018/10/08/google-plus-hack/

https://www.wsj.com/articles/google-exposed-user-data-feared-repercussions-of-disclosing-to-public-1539017194?mod=e2twd

https://techxplore.com/news/2018-10-google-social-network-bug-exposed.html

关注公众账号

【飞马会】

飞马会

AI人工智能/大数据/技术管理等人员学习交流园地