谷歌發現安全漏洞 Google+將被關閉 

Google+將在2019年8月正式關閉，之前有10個月的停擺期。

騰訊科技訊 10月9日消息，據外媒報道，谷歌同名社交網絡Google+因驚現漏洞將被關閉，該漏洞可能允許惡意開發者收集數億谷歌用戶的數據。

谷歌在一篇博客文章中說，作為Project Strobe的一部分，該公司在2018年3月發現了這個漏洞。Project Strobe由100人組成，負責對允許訪問谷歌賬戶和Android設備數據的第三方開發工具進行全面審查。

谷歌宣稱，Google+ People API允許用戶訪問自己和朋友的個人資料數據，這無意中也允許第三方應用程序刪除未被標記為公開的個人資料，包括姓名、電子郵件地址、職業和性別等。

谷歌指出，這不包括發布或連接到Google+或任何其他服務的數據，例如消息、谷歌帳戶數據、G Suite內容或電話號碼。

《華爾街日報》看到的文件顯示，在2015年至2018年3月期間，谷歌內部調查人員實施了一項修復措施，但此前這一漏洞始終未被發現。

谷歌表示，高達50萬個Google+賬戶受到影響，多達438個應用程序可能使用了該API。

不過谷歌堅持認為，該公司沒有發現開發人員知道或濫用安全漏洞的證據，也沒有發現用戶資料文件數據被濫用。不過，谷歌承認自己無法確定這些問題，因為它對開發人員沒有“審計權限”，而且它只保留有限的活動日志。

谷歌在博文中寫道：“每年，我們都會向用戶發送數百萬條關於隱私、安全漏洞和其他問題的通知。每當用戶數據可能受到影響，在決定是否提供通知時，我們都會超越法律對我們的要求，采用有益於用戶的標准。”

谷歌繼續寫道：“我們的隱私和數據保護辦公室審查了這個問題，查看了涉及的數據類型，並探討了我們是否能夠准確地識別出需要告知的用戶，是否有任何濫用的證據，以及開發人員或用戶是否可以采取任何應對措施等。在這次事件中，這些閾值都沒有達到。”

今天早上，谷歌高管內部委員會——谷歌隱私和數據保護辦公室（包括谷歌首席執行官桑達爾·皮查伊（Sundar Pichai））簡要介紹了其一項計劃，即不向用戶通報Google+的漏洞，因為其擔心可能會引來審查，並造成名譽損害。

《華爾街日報》獲得的一份備忘錄稱:“這可能導致谷歌與Facebook一起(甚至取代Facebook)成為聚光燈下的焦點，在劍橋分析公司(Cambridge Analytica)濫用數據丑聞期間，Facebook始終處於人們的關注之下。如果漏洞曝光，幾乎可以肯定，皮查伊需要前往國會作證。”

公司律師建議谷歌稱，法律上沒有要求其向公眾披露這一事件。歐盟的《通用數據保護條例》（GDPR）規定，公司必須在72小時內通知監管機構存在違規行為，但由於這一漏洞是在3月份(GDPR生效前兩個月)被發現的，因此該規定也不適用。

有鑒於此，谷歌隱私和數據保護辦公室決定，由於谷歌無法確定哪些開發人員可能獲得了數據，所以公開披露這個漏洞不會給終端用戶帶來任何“效益”。

Google+將在2019年8月正式關閉，之前有10個月的停擺期。谷歌表示，這項服務目前的“用戶參與度很低”，90%的Google+用戶會話持續時間不到5秒。在這幾個月裡，我們將看到為企業“量身定制”的新功能。

作為Project Strobe的一部分，谷歌今天宣布將推出一個流線型的權限管理視圖，用於谷歌帳戶的訪問提示。

此外，谷歌還對用戶Gmail API實施了更嚴格的API訪問策略，以限制可能尋求訪問電子郵件數據權限的應用程序。從現在開始，只有“直接增強”功能的應用程序，如電子郵件客戶端、備份服務和生產力服務才能獲得授權。

谷歌還表示，該公司將限制Android應用程序在Android設備上接收通話記錄和SMS權限的能力，並且不再通過Android Contacts API提供聯系人交互數據。

兩周前，有消息稱黑客利用“查看為”(View As)功能中的漏洞，接管了5000多萬個Facebook賬戶。幾個月前，政治咨詢公司劍橋分析公司以不恰當方式訪問了8700萬Facebook用戶的數據。（編譯/金鹿