谷歌宣佈即日起定期封停Google+，對使用者資料漏洞進行改良與整頓。

谷歌宣佈定期廢止Google+。

為了改善手機體驗，Google+向來允許第三方應用程式、網站和服務對其進行訪問。但其成功也越發的依賴於使用者資料安全性。

但自2015年起，有一個安全漏洞卻使得第三方開發者可以直接訪問使用者個人資料資料。

當用戶授權應用程式訪問其公開的個人資料資料時，這個漏洞還能讓開發者獲取該使用者好友的非公開個人資料欄位。所涉及的使用者數量近50萬人，包括他們的全名、郵箱地址、出生日期、性別、個人照片、居住地、職業以及人脈等。

事實上，谷歌於今年3月份便發現並修補過該漏洞，但並未將此事公之於眾。原因是怕取代Facebook“劍橋分析（Cambridge Analytica）”醜聞事件，成為輿論的焦點。

《華爾街日報》於今日發表報道對谷歌的行為表示譴責，並稱預計谷歌於今日釋出一系列隱私措施來應對該漏洞。而後沒過幾分鐘，谷歌就其Project Strobe的調查結果發表了宣告。

Project Strobe：保護使用者資料、改進第三方API以及定期廢止Google+

谷歌Project Strobe宣告

問題發現1：建立和維護符合消費者期望的Google+產品存在重大挑戰。

解決方案1：封停Google+。

多年來，谷歌收到的反饋是，希望可以更好地瞭解如何控制使用者在Google+上分享的資料。 因此，作為Project Strobe的一部分，首要任務之一是仔細稽核與Google+相關的所有API。

雖然谷歌的工程團隊多年來在構建Google+方面付出了很多心血，但它並沒有廣泛地被消費者或開發人員的採用，並且使用者與應用程式的互動也是有限的。

目前，Google+的消費者版本使用率和參與度較低：90％的Google+使用者活躍時間不到5秒。

問題發現2：使用者希望它們對共享的資料進行細粒度控制。

解決方案2：啟動更詳細的Google帳戶許可權，並顯示在各個對話方塊中。

簡單來說，以後使用者在Google+上面對許可權請求的時候，不會再是眾多請求堆積在一個介面，而是在應用程式自身的對話方塊中，一次顯示一個許可權請求。對比如下圖所示：

過去Google+授予許可權的流程

改進後Google+授予許可權的流程

問題發現3：當用戶授予應用程式對其Gmail的訪問許可權時，他們會考慮到特定的用例。

解決方案3：限制允許的用例型別。

針對消費者Gmail API的使用者資料政策正在進行更新，以限制可能獲得訪問消費者Gmail資料許可權的應用。

只有直接增強電子郵件功能的應用程式（如電子郵件客戶端，電子郵件備份服務和生產力服務（例如，CRM和郵件合併服務））才會被授權訪問此資料。 此外，這些應用需要同意有關處理Gmail資料的新規則，並且需要接受安全評估。 

問題發現4：當用戶向Android應用程式授予SMS、聯絡人和電話許可權時，他們會考慮到特定的用例。

解決方案4：我們限制了應用程式在Android裝置上接收通話記錄和簡訊許可權，不再通過Android Contacts API提供聯絡人互動資料。

某些Android應用會要求獲得訪問使用者手機（包括通話記錄）和簡訊資料許可權。 展望未來，Google Play將限制允許哪些應用請求這些許可權。 只有使用者選擇作為預設應用程式撥打電話或簡訊的應用才能發出這些請求。 

此外，作為Android Contacts許可權的一部分，谷歌提供了基本的互動資料 - 例如，訊息應用可以向用戶顯示最近的聯絡人。 在未來幾個月內將刪除對Android Contacts API的聯絡人互動資料的訪問許可權。

參考連結：

https://blog.google/technology/safety-security/project-strobe/ https://techcrunch.com/2018/10/08/google-plus-hack/

https://www.wsj.com/articles/google-exposed-user-data-feared-repercussions-of-disclosing-to-public-1539017194?mod=e2twd

https://techxplore.com/news/2018-10-google-social-network-bug-exposed.html

關注公眾賬號

【飛馬會】

▼

往期福利

關注飛馬會公眾號，回覆對應關鍵詞打包下載學習資料；回覆“入群”，加入飛馬網AI、大資料、專案經理學習群，和優秀的人一起成長！