為解決資料洩露的困境——Google為第三方應用設定了訪問Gmail資料的新規則
谷歌將對希望訪問使用者Gmail收件箱的第三方應用程式推出更嚴格的規則。新規定將於2019年1月9日生效。
在7月份,谷歌因允許第三方應用免費漫遊和訪問使用者的Gmail資料(包括Gmail郵件內容)而受到了批評,之後谷歌發表瞭如上回應。
谷歌表示,
從明年開始,只有直接增強電子郵件功能的Gmail應用程式才能被授權訪問收件箱資料。Gmail應用程式有電子郵件客戶端、電子郵件備份服務和生產率服務(例如CRM和郵件合併服務)。
應用程式開發人員需要根據這些新規則來重寫他們的應用程式。對Gmail使用者資料具有完全訪問許可權但只需要“傳送功能”的Gmail第三方應用需要適當調整其許可權範圍,因為從明年開始,他們將無法讀取使用者的電子郵件。
谷歌表示,
所有應用程式開發人員必須在2019年2月15日前重新提交他們的應用程式進行審查。在2019年2月22日之後,可以廣泛訪問Gmail使用者資料的應用程式將被移除。
除了申請新的應用程式審查流程外,谷歌還計劃對應用程式進行安全評估,以瞭解開發人員如何儲存通過應用程式收集的Gmail使用者資料。
應用程式將被要求演示安全資料處理的評估,包括:應用程式滲透測試、外部網路滲透測試、賬戶刪除驗證、事件響應計劃的審查、漏洞披露程式和資訊保安策略。僅在終端使用者裝置上儲存使用者資料的應用程式不需要完成完整的評估,但需要驗證它是非惡意的軟體。
在申請新的審查時,Gmail應用程式開發人員還必須同意一項新的谷歌政策,也就是禁止銷售通過他們的應用程式獲得的資料。
新的Gmail政策和安全評估流程只是谷歌保護它的後盾。今年早些時候,劍橋易觀智庫(Cambridge Analytica)開發的一款行為不當的第三方應用程式收集了大量使用者資料,後來這些資料被用於政治活動。
谷歌的新政策和Gmail API訪問規則是用來保護Gmail使用者的收件箱,但是沒有辦法保證使用者資料能夠完全不被竊取,但它會讓應用程式更難獲得這些資料。
該公司希望這些新的API訪問規則能夠遏制開發簡單的Gmail附加元件的做法,這些附加元件使用侵入式許可權對電子郵件文字執行機器分析,收集使用者資料以進行廣告定位,跟蹤電子郵件廣告系列的成功或其他惡意目的。
谷歌今天在一篇部落格文章中宣佈了新的Gmail訪問規則,其中該公司還宣佈在API錯誤暴露了超過500,000名使用者的私人資訊後,關閉了Google+社交網路。