Хабрахабр

Security Week 39: на смерть Google+

На прошлой неделе Google объявил (новость) о закрытии социальной сети Google+, но сделано это было достаточно необычно. Компания Google вообще не стесняется закрывать проекты, которые по разным причинам не взлетели. Многие до сих пор не могут простить компании отказа от поддержки сервиса Google Reader в 2013 году, через два года после запуска «гугл-плюс».

Интересна причина закрытия. Впрочем, Google имеет право: если какой-то бизнес не состоялся, туда ему и дорога. В случае Picasa — желание сфокусироваться на новом продукте Google Photos. В случае Google Reader это была небольшая аудитория. Озабоченные защитой этих самых данных, в начале 2018 года специалисты Google запустили Project Strobe — инициативу, в рамках которой анализировались приложения третьих сторон, имеющие доступ к учетным записям Google. А вот Google+ закрыли из соображений безопасности, и это довольно свежий аргумент, который в отношении крупного сервиса, кажется, применяется впервые.
О закрытии Google+ объявлено в многословном блог-посте, который вообще посвящен приватности пользовательских данных. В блог-посте Google делится первыми четырьмя результатами этого анализа.

В посте признается очевидное: за семь лет сервис не стал популярным среди пользователей или разработчиков. Результат номер один: Google+ закрывается для обычных пользователей (но в каком-то виде будет существовать для бизнеса). как отсюда выйти?). 90% пользовательских сессий, где происходит взаимодействие с Google+, продолжаются меньше чем пять секунд (что это?

Но по версии Google, это не основная или, как минимум, не единственная причина закрытия платформы. В ходе аудита было обнаружено, что приложения могут запрашивать и получать доступ к профилю пользователя в сети Google+. В профиле могут быть указаны (а могут и не быть, это добровольно) имя, адрес электронной почты, профессия, пол и возраст. Проблема заключалась в том, что через API приложения получали доступ не только к информации о пользователе, но и к данным друзей. Причем друзья могли пометить какую-то информацию о себе как непубличную, но доступ к ней предоставлялся все равно.

Но это все в теории, так как доказательств, что кто-то через API Google+ реально так делал, компания не нашла. По данным Google, до 500 тысяч пользователей могли быть потенциально подвержены опасности — очевидно, это те, кто делился своей информацией в ответ на запрос какого-то приложения и могли таким образом непреднамеренно раскрыть информацию о друзьях. Действительно, зачем взламывать Google+, когда есть Фейсбук?

Вывод номер два: пользователи требуют больше контроля над правами сторонних приложений. Прежде чем разбираться, что тут произошло, кратко пробежимся по трем другим результатам анализа. Теперь, когда какой-то сервис будет требовать доступ к вашей учетке Google (чтобы залогиниться или залить что-то в Google Drive, и так далее), вы можете разрешить, например, доступ к вашему профилю, но запретить доступ к календарю.

Третий апдейт: ужесточается доступ к почте. Доступ к сообщениям вообще всегда был скандальной темой, так что это логичное действие со стороны Google. Четвертая новость: в Android будет серьезно урезан доступ приложений к звонкам и SMS. Теперь полный доступ будут иметь только приложения для звонков и СМС, которые пользователь назначил дефолтными. Это теоретически хорошая новость для защиты от рассылающих платные СМС троянов, но посмотрим, как получится на самом деле.

Формально Google молодцы: так озаботились приватностью пользователей, что закрыли целую социальную сеть. А с Google+ выходит странная штука. С другой: сам инцидент как-то мелковат. Это, без шуток, прецедент, первый случай, когда корпорация хотя бы на словах упоминает безопасность в качестве одной из причин прекращения работы над продуктом.

Вот у Yahoo украли полмиллиарда учетных записей. Давайте сравним. Вот совсем похожий случай: через небезопасный API абсолютно левая контора скачала информацию из профилей 50 миллионов пользователей Facebook. Вот агрегатор кредитных историй Equifax через грандиозную дыру в инфраструктуре теряет очень чувствительные данные о половине населения США. Если сравнить масштабы, то Yahoo, Facebook и Equifax давно должны быть с позором закрыты.

Yahoo продалась компании Verizon со скидкой от изначальной цены, Facebook таскают по судам и конгрессам, а безопасники закручивают гайки сторонним разработчикам. Но нет, ничего такого не произошло, хотя репутация всех трех компаний безусловно пострадала. У Equifax в ходе скандала серьезно упал курс акций… Но потом поднялся почти до нормальных значений, а выручка компании повысилась.

Вывод такой: безопасность, точнее, небезопасность продуктов не так уж сильно влияет на бизнес или на предпочтения потребителей. Не то чтобы я настаиваю на закрытии: этак мы за пару месяцев останемся без железа, сервисов и софта. Google пыталась интегрировать свою соцсеть вообще во все продукты. У автора этих строк претензия к Google+ не по части приватности API. Объявленные на прошлой неделе изменения в политике безопасности отчасти решают ту же проблему. Из-за этого я в один прекрасный день обнаружил, что мой смартфон какое-то время загружал все фотографии в приватный фотоальбом Google+, хотя я вроде бы его об этом не просил (видимо, забыл снять где-то малозаметную галочку). Они дают пользователю возможность самому, более осознанно решать, к каким данным открывать доступ, а какие оставить при себе.

Попытка интегрировать все и вся, как правило, и приводит к уязвимостям на стыке разных технологий. Это стратегический недостаток не только Google+. Оно и понятно, компания здесь находится в положении пчел, пытающихся ограничить сбор, хранение и обработку меда. Но в сообщении Google эта тема не поднимается. Или Facebook, или любой другой компании. В идеале мне как пользователю хотелось бы еще больше контроля над своими данными, причем не только по отношению к сторонним разработчикам, но и по отношению к внутренним сервисам Google.

Это значит, что Google, Facebook и другие компании начинают серьезнее относиться к вопросам приватности. Тем не менее, упоминание информационной безопасности даже в таком контексте во время объявления о серьезном бизнес-решении — это хорошая новость. Станет ли в будущем в таких сообщениях еще меньше политики и еще больше фактов? Как и в случае c недавним багом в Facebook, обе компании достаточно подробно и открыто рассказывают о проблеме и методах ее решения. Что ж, будем продолжать наблюдение.

Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского».

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть