जीमेल डॉक्स फ़िशिंग हमला: Google सख्त वेब ऐप आईडी जांच के साथ डेवलपर्स को लक्षित करता है

  • Oct 20, 2023

वेब अनुप्रयोगों के लिए नई मैन्युअल समीक्षा में सात दिन तक का समय लग सकता है।

googlewebappsistock.jpg

उपयोगकर्ता डेटा का अनुरोध करने वाले ऐप्स को अब मैन्युअल समीक्षा प्रक्रिया से गुजरना होगा जिसमें सात दिन लग सकते हैं।

छवि: गेटी इमेजेज

Google इसकी पुनरावृत्ति को रोकने के लिए वेब एप्लिकेशन प्रकाशित करने की प्रक्रिया को धीमा कर रहा है फ़िशिंग हमला जिसने नकली Google डॉक्स ऐप के साथ अपने साइन-इन सिस्टम में उपयोगकर्ताओं के भरोसे का दुरुपयोग किया।

गूगल ने चेतावनी दी थी वेब ऐप डेवलपर्स का कहना है कि नए नियम और अतिरिक्त जोखिम मूल्यांकन ऐप प्रकाशित करने की प्रक्रिया में "कुछ घर्षण" जोड़ सकते हैं।

उपयोगकर्ता डेटा का अनुरोध करने वाले ऐप्स को अब मैन्युअल समीक्षा प्रक्रिया से गुजरना होगा जिसमें उपयोगकर्ताओं को Google की साइन-इन सेवाओं में अनुमतियां स्वीकृत करने में सात दिन लग सकते हैं।

"समीक्षा पूरी होने तक, उपयोगकर्ता डेटा अनुमतियों को मंजूरी नहीं दे पाएंगे, और हम एक त्रुटि प्रदर्शित करेंगे अनुमति सहमति पृष्ठ के बजाय संदेश, "Google ने एक ब्लॉग में नए डेवलपर पहचान दिशानिर्देशों का विवरण देते हुए कहा।

"आप ऐप को जनता के लिए खोलने के लिए परीक्षण चरण के दौरान समीक्षा का अनुरोध कर सकते हैं। हम उन समीक्षाओं को तीन से सात कार्यदिवसों में संसाधित करने का प्रयास करेंगे। भविष्य में, हम पंजीकरण चरण के दौरान भी समीक्षा अनुरोधों को सक्षम करेंगे।"

नकली डॉक्स फ़िशिंग हमले ने Google के OAuth लॉगिन पेज का दुरुपयोग किया, जहां तृतीय-पक्ष ऐप्स जीमेल में विभिन्न अनुमतियों तक पहुंच का अनुरोध कर सकते हैं, जैसे ईमेल पढ़ने, भेजने, हटाने और प्रबंधित करने की क्षमता।

हमलावर ने प्राप्तकर्ताओं को यह अनुमति देने के लिए धोखा देने के लिए एक फर्जी Google डॉक्स ऐप बनाया Google का वास्तविक लॉगिन पृष्ठ, जिसका उपयोग ऐप उसी फ़िशिंग संदेश को लक्ष्य तक फैलाने के लिए करता है संपर्क.

कुछ के पास है Google पर कॉल किया गया और अन्य जो एप्लिकेशन डेवलपर्स की बेहतर जांच करने के लिए फेसबुक और ट्विटर जैसे तृतीय-पक्ष एप्लिकेशन को लिंक करने के लिए OAuth का उपयोग करते हैं।

मैन्युअल समीक्षा और एक अद्यतन सहमति पृष्ठ का उद्देश्य नकली एप्लिकेशन पहचान का पता लगाने की Google की क्षमता में सुधार करना है।

इन परिवर्तनों के कारण, जो डेवलपर्स नए एप्लिकेशन पंजीकृत कर रहे हैं या मौजूदा एप्लिकेशन को संशोधित कर रहे हैं, वे Google API कंसोल, फायरबेस कंसोल या ऐप्स स्क्रिप्ट संपादक में त्रुटि संदेश देखने की उम्मीद कर सकते हैं।

जैसा ZDNetपिछले सप्ताह रिपोर्ट की गई, Google ने अपनी नीतियों और OAuth अनुप्रयोगों के प्रवर्तन के साथ-साथ अपने एंटी-स्पैम सिस्टम को अद्यतन करने की योजना की घोषणा की थी।

हमले के बाद, Google ने लोगों को ऐप को दी गई एक्सेस रद्द कर दी, और सुरक्षित ब्राउज़िंग, जीमेल और Google क्लाउड प्लेटफ़ॉर्म के माध्यम से अपडेट जारी किए। इसमें कहा गया है कि 0.1 प्रतिशत से भी कम जीमेल उपयोगकर्ता प्रभावित हुए।

Google और सुरक्षा के बारे में और पढ़ें

  • Google: हम चाहते हैं कि अधिक Android उपयोगकर्ता अपने व्यक्तिगत फ़ोन पर कार्य प्रोफ़ाइल सेट करें
  • विंडोज़ 10 एज, IE: माइक्रोसॉफ्ट का कहना है कि अब हम SHA-1 प्रमाणपत्र के साथ हस्ताक्षरित साइटों को ब्लॉक कर रहे हैं
  • एंड्रॉइड की यह खामी 'अधिकांश रैंसमवेयर द्वारा उपयोग की जाती है'। लेकिन Google इसे Android O तक ठीक नहीं करेगा
  • जीमेल फर्जी डॉक्स हमला: अब Google ने फ़िशिंग को रोकने के लिए OAuth नियमों को कड़ा कर दिया है