Google a mis à jour ses directives en matière d’identité des applications et a mis en place de nouveaux processus d’examen et de nouvelles restrictions pour les applications Web qui demandent des données d’utilisateur en réponse à l’escroquerie de phishing qui a éclaté la semaine dernière. Tout cela est décrit dans le blog des développeurs de Google, qui décrit les nouvelles étapes que les développeurs d'applications Web devront suivre afin d'aider Google et ses utilisateurs à mieux détecter les identités d'application usurpées ou trompeuses.
Le 3 mai, vous avez peut-être reçu des e-mails suspects contenant des liens convaincants dans Google Doc. Il s'agissait d'une arnaque de phishing concoctée par un développeur tiers qui avait réussi à créer une application Web qui imitait Google Docs de manière convaincante et diffusait rapidement les utilisateurs spammés avec des liens demandant l'accès pour envoyer et recevoir des courriers électroniques au nom des utilisateurs, ainsi qu'un accès général aux comptes.
Google a le mérite d'avoir pris des mesures immédiates et désactivé les comptes incriminés un peu plus de deux heures après que les utilisateurs ont commencé à signaler le problème sur les médias sociaux. Dans sa réponse officielle, Google a déclaré qu'il travaillait sur de nouvelles mesures pour empêcher que de telles choses ne se reproduisent.
Ces modifications sont maintenant en place et peuvent affecter la manière dont les développeurs enregistrent de nouvelles applications ou modifient des applications existantes. Le nouveau processus de révision inclut une révision manuelle de certaines applications Web demandant des autorisations d'accès aux données, processus qui, selon Google, peut prendre jusqu'à 7 jours ouvrables. Les développeurs pourront continuer à tester leurs applications avec des comptes enregistrés en tant que propriétaire ou éditeur du projet, mais les comptes publics obtiendront un message d'erreur au lieu d'une page de consentement des autorisations.
Ces modifications pourraient être un peu frustrantes pour les développeurs qui n’ont pas d’intention malveillante, mais qui devraient empêcher d’autres escroqueries par phishing. En attendant, en tant qu'utilisateurs, nous devrions toujours être attentifs à ces fenêtres d'autorisation d'application chaque fois qu'elles apparaissent.
[Douane:
