Google 在稍早在官方部落格介紹一項名為 Project Strobe 的安全防護計畫,不過在這份內容中更值得注意的是 Google+ 由於可能的 API 安全性問題將關閉消費者用的 Google+ 服務,且這項 API 問題可能導致 50 萬用戶的資料有外洩的疑慮,但 Google 仍強調當前雖還在調查中,不過目前為止沒有發現有開發者發現這項漏洞或是濫用漏洞的情況。
Google 計畫在 10 個月內陸續關閉消費端的 Google+ 服務,預計在明年八月底關閉服務,中間也會提醒使用者準備轉移資料,以及提供下載與資料轉移的方式;至於企業端的 Google+ 則仍有其價值,適合用於企業內部的交流與探討,除了將繼續存活外也會加入更多企業級的新功能。
簡單的說, Project Strobe 的目的是在強化第三方開發者對於連接到 Google 帳號與 Android 裝置的安全性審查,主要在於強化消費者個人帳號與裝置的隱私權,或者是避免第三方開發者取得過多且非應用所需要的權限,或是有其他違反 Google 設下的安全政策的情況。
而在這項計畫執行後,最先開始動刀的就是 Google+ ,畢竟連 Google 自己都吐槽 Google+ 耗費相當多的開發時間與努力,但並未達到當初預期被消費者廣泛使用的目標,同時此次先被開到的 Google+ 的參與度與使用度也低的可怕,達 9 成的 Google+ 的互動甚至不到 5 秒。
在此次基於 Project Strobe 的清查動作發現, Google+ 的 API 有嚴重的安全性設計錯誤,導致使用者可透過 API 向 Google+ 授權檢查個人數據與好友公開資料的瀏覽權限,也表示受到 API 控制的應用程式能夠瀏覽使用者並未設為公開的個人資訊,不過可瀏覽的資訊僅限於 Google+ 尚包括姓名、電子郵件信箱、職業、性別與年齡等,不包括像是 Google+ 貼文、聊天資訊、 Google 帳號資訊或是 G Suite 的內容; Google 在處理這項錯誤前進行分析,發現 API 的漏洞影響至少 50 萬名 Google+ 用戶,同時有 438 款應用程式有使用到這個 API ,但仍強調現階段沒有發現被濫用的情況。
另外,基於 Project Strobe ,接下來當服務需要存取 Google 帳戶資料與功能時,在權限確認時會有更繁複的過程,不再像原本可以直接滑到最底按下 OK ,接下來將會針對不同權限有個別的確認頁面。
同時, Google 也會更嚴加限制應用程式對一些 Google 的服務存取權限,例如 Gmail 與通話、簡訊等,不會再如現在讓原則上不該使用這些服務的應用程式也一併存取,只會開放與這些服務相關的應用程式具備存取權限。而接下來 Google 也將持續強化數據安全與個人隱私權,使使用者對自己的資料有更高的掌控權。
難道我以後每天只能先看RSS,越活越回去...