Security Week 39: на смерть Google+

y1iqwuphawkn4gphawfth3igpfa.jpegНа прошлой неделе Google объявил (новость) о закрытии социальной сети Google+, но сделано это было достаточно необычно. Компания Google вообще не стесняется закрывать проекты, которые по разным причинам не взлетели. Многие до сих пор не могут простить компании отказа от поддержки сервиса Google Reader в 2013 году, через два года после запуска «гугл-плюс».

Впрочем, Google имеет право: если какой-то бизнес не состоялся, туда ему и дорога. Интересна причина закрытия. В случае Google Reader это была небольшая аудитория. В случае Picasa — желание сфокусироваться на новом продукте Google Photos. А вот Google+ закрыли из соображений безопасности, и это довольно свежий аргумент, который в отношении крупного сервиса, кажется, применяется впервые.
О закрытии Google+ объявлено в многословном блог-посте, который вообще посвящен приватности пользовательских данных. Озабоченные защитой этих самых данных, в начале 2018 года специалисты Google запустили Project Strobe — инициативу, в рамках которой анализировались приложения третьих сторон, имеющие доступ к учетным записям Google. В блог-посте Google делится первыми четырьмя результатами этого анализа.

Результат номер один: Google+ закрывается для обычных пользователей (но в каком-то виде будет существовать для бизнеса). В посте признается очевидное: за семь лет сервис не стал популярным среди пользователей или разработчиков. 90% пользовательских сессий, где происходит взаимодействие с Google+, продолжаются меньше чем пять секунд (что это? как отсюда выйти?).

jw_7ih7tgxfjvnhqtis3uvar6jy.png


Но по версии Google, это не основная или, как минимум, не единственная причина закрытия платформы. В ходе аудита было обнаружено, что приложения могут запрашивать и получать доступ к профилю пользователя в сети Google+. В профиле могут быть указаны (а могут и не быть, это добровольно) имя, адрес электронной почты, профессия, пол и возраст. Проблема заключалась в том, что через API приложения получали доступ не только к информации о пользователе, но и к данным друзей. Причем друзья могли пометить какую-то информацию о себе как непубличную, но доступ к ней предоставлялся все равно.

По данным Google, до 500 тысяч пользователей могли быть потенциально подвержены опасности — очевидно, это те, кто делился своей информацией в ответ на запрос какого-то приложения и могли таким образом непреднамеренно раскрыть информацию о друзьях. Но это все в теории, так как доказательств, что кто-то через API Google+ реально так делал, компания не нашла. Действительно, зачем взламывать Google+, когда есть Фейсбук?

Прежде чем разбираться, что тут произошло, кратко пробежимся по трем другим результатам анализа. Вывод номер два: пользователи требуют больше контроля над правами сторонних приложений. Теперь, когда какой-то сервис будет требовать доступ к вашей учетке Google (чтобы залогиниться или залить что-то в Google Drive, и так далее), вы можете разрешить, например, доступ к вашему профилю, но запретить доступ к календарю.

pzyxaxh0dbzqexclar6rfx9x7jc.png


Третий апдейт: ужесточается доступ к почте. Доступ к сообщениям вообще всегда был скандальной темой, так что это логичное действие со стороны Google. Четвертая новость: в Android будет серьезно урезан доступ приложений к звонкам и SMS. Теперь полный доступ будут иметь только приложения для звонков и СМС, которые пользователь назначил дефолтными. Это теоретически хорошая новость для защиты от рассылающих платные СМС троянов, но посмотрим, как получится на самом деле.

wg8iedmfve980wxip6ubjh_vopa.png

А с Google+ выходит странная штука. Формально Google молодцы: так озаботились приватностью пользователей, что закрыли целую социальную сеть. Это, без шуток, прецедент, первый случай, когда корпорация хотя бы на словах упоминает безопасность в качестве одной из причин прекращения работы над продуктом. С другой: сам инцидент как-то мелковат.

Давайте сравним. Вот у Yahoo украли полмиллиарда учетных записей. Вот агрегатор кредитных историй Equifax через грандиозную дыру в инфраструктуре теряет очень чувствительные данные о половине населения США. Вот совсем похожий случай: через небезопасный API абсолютно левая контора скачала информацию из профилей 50 миллионов пользователей Facebook. Если сравнить масштабы, то Yahoo, Facebook и Equifax давно должны быть с позором закрыты.

Но нет, ничего такого не произошло, хотя репутация всех трех компаний безусловно пострадала. Yahoo продалась компании Verizon со скидкой от изначальной цены, Facebook таскают по судам и конгрессам, а безопасники закручивают гайки сторонним разработчикам. У Equifax в ходе скандала серьезно упал курс акций… Но потом поднялся почти до нормальных значений, а выручка компании повысилась.

Не то чтобы я настаиваю на закрытии: этак мы за пару месяцев останемся без железа, сервисов и софта. Вывод такой: безопасность, точнее, небезопасность продуктов не так уж сильно влияет на бизнес или на предпочтения потребителей. У автора этих строк претензия к Google+ не по части приватности API. Google пыталась интегрировать свою соцсеть вообще во все продукты. Из-за этого я в один прекрасный день обнаружил, что мой смартфон какое-то время загружал все фотографии в приватный фотоальбом Google+, хотя я вроде бы его об этом не просил (видимо, забыл снять где-то малозаметную галочку). Объявленные на прошлой неделе изменения в политике безопасности отчасти решают ту же проблему. Они дают пользователю возможность самому, более осознанно решать, к каким данным открывать доступ, а какие оставить при себе.

Это стратегический недостаток не только Google+. Попытка интегрировать все и вся, как правило, и приводит к уязвимостям на стыке разных технологий. Но в сообщении Google эта тема не поднимается. Оно и понятно, компания здесь находится в положении пчел, пытающихся ограничить сбор, хранение и обработку меда. В идеале мне как пользователю хотелось бы еще больше контроля над своими данными, причем не только по отношению к сторонним разработчикам, но и по отношению к внутренним сервисам Google. Или Facebook, или любой другой компании.

Тем не менее, упоминание информационной безопасности даже в таком контексте во время объявления о серьезном бизнес-решении — это хорошая новость. Это значит, что Google, Facebook и другие компании начинают серьезнее относиться к вопросам приватности. Как и в случае c недавним багом в Facebook, обе компании достаточно подробно и открыто рассказывают о проблеме и методах ее решения. Станет ли в будущем в таких сообщениях еще меньше политики и еще больше фактов? Что ж, будем продолжать наблюдение.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.

© Habrahabr.ru