Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google neemt aanvullende maatregel tegen phishing door webapps

Door , 11 reacties

Google heeft een aanvullende maatregel aangekondigd die gebruikers moet beschermen tegen phishing via webapplicaties. De zoekgigant toont nu een waarschuwing als gebruikers een applicatie gebruiken die nog geen verificatieproces heeft doorlopen.

In mei introduceerde Google dat proces, waarbij een risicoanalyse plaatsvindt van applicaties die gebruikersgegevens opvragen. Op basis van die analyse kan een handmatig onderzoek plaatsvinden. Zolang dat onderzoek nog niet was afgesloten, kregen gebruikers een foutmelding te zien als zij een dergelijke app probeerden te gebruiken. Deze foutmelding wordt nu vervangen voor een scherm met een waarschuwing voor een 'ongeverifieerde app'.

Daar moeten gebruikers aangeven dat zij de ontwikkelaar vertrouwen voordat ze verder kunnen. Google heeft ervoor gekozen om dat niet met een druk op een knop mogelijk te maken, maar om een iets hogere barrière te creëren. Zo moeten gebruikers handmatig 'continue' typen in een getoonde prompt voordat de applicatie de nodige permissies krijgt. Het scherm wordt ook getoond voor zogenaamde Apps Scripts die OAuth-toegang willen tot een gebruikersaccount. De huidige wijziging geldt niet voor alle webapplicaties, maar alleen apps die gebruikmaken van OAuth. Bijvoorbeeld via Googles Sign In.

De verandering volgt op een aantal eerdere wijzigingen die Google doorvoerde naar aanleiding van een phishingcampagne die in mei aan het licht kwam. Daarbij werd gebruikgemaakt van een mail waarin gebruikers werden uitgenodigd een Google Docs-document te openen. Klikten ze op de link, dan werd echter een app geopend die slechts de naam 'Google Docs' gebruikte en het Drive-logo toonde. Deze app van een derde partij kreeg zo toegang tot het e-mailaccount van het slachtoffer, zoals mails en contactpersonen. Daardoor kon de phishingmail zich snel onder de contactpersonen van slachtoffers verspreiden.

Reacties (11)

Wijzig sortering
Voor de duidelijkheid: dit gaat over webapplicaties die gebruik maken van Sign in via Google en andere van hun APIs. De screenshot doet vermoeden dat Chrome dit voor alle websites gaat doen, en het artikel is daar vrij onduidelijk over.
Kijk. Dit is nog eens essentiėle informatie. Het artikel deed mij al vermoeden dat Google dit voor elke website zou gaan doen. Lijkt me toch onwenselijk. Nu lijkt het alsof Google zegt "Doe mee aan ons onderzoek of we bestempelen je site als onveilig en dan nemen je klanten af". Zoveel mensen maken gebruik van Google/Chrome, dat je als website eigenlijk andere geen keuze hebt dan mee te moeten werken. Maar wanneer dit geldt voor websites die gebruik maken van Sign in via Google, dan klinkt dat al een stuk logischer.
Dank, goede opmerking. Ik zal het verduidelijken.
Dat is inderdaad belangrijk, ik schrok al een beetje toen ik dit bericht las.
Nette toevoeging.

Nu wachten tot dit ook voor de Play Store gaat gelden.
Kan je als malafide ontwikkelaar dan niet eerst een cleane app in de appstore plaatsen, en nadat die door het verificatie proces is geraakt een update uitgeven waar dan wel phishing en andere malafide code inzit?
In zo'n geval zou Google ook bij een update de app moeten controleren, of in dit geval de webshop in kwestie meerdere keren controleren.
Denk dat dit gericht is op malafide apps die bijvoorbeeld Google Docs als naam of logo gebruiken zoals laatst op Tweakers werd gemeld (of zich voordoen als andere bedrijven/apps)
Dit is echt nutteloos. OAuth is al een verificatie op zichzelf.
Dan heb je het niet helemaal begrepen. Je kan apps toegang geven tot je gegevens die bij Google staan. Bijvoorbeeld je GMail of je hele Google Drive.

Laatst was er een malafide app, die zich voordeed als Google Drive waardoor mensen dachten dat ze naar de echte Google drive gingen en ze gewoon full-access gaven aan de app, waardoor die app-ontwikkelaar met al je gegevens er van door kan gaan.

Nu krijg je een melding dat het een nieuwe app is die misschien niet veilig is.
Hier heb je een mooi gifje die het laat zien

[Reactie gewijzigd door Mustii_93 op 19 juli 2017 15:45]

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*