Narito kung paano binabago ng Google ang seguridad ng Gmail at Android – TechCrunch


Ang sabik na baguhin ang pag-uusap mula sa kanilang mga taon na pagkakalantad ng data ng gumagamit sa pamamagitan ng Google+ sa maliwanag, nagniningning na hinaharap na ibinibigay ng kumpanya, ang Google ay nag-anunsiyo ng ilang mga pagbabago sa pahintulot ng paraan na naaprubahan para sa mga Android apps. Ang bagong proseso ay magiging mas mabagal, mas sinadya at inaasahan na secure.

Ang mga pagbabago ay bahagi ng "Project Strobe," isang "repasuhin ng root-and-branch ng pag-access ng developer ng third-party sa Google account at data ng Android device at sa aming pilosopiya sa pag-access ng data ng apps." Talagang nagpasya sila na oras na i-update ang kumplikado at malamang na hindi ganap na magkakatugma na hanay ng mga alituntunin at kasanayan sa paligid ng mga developer ng third-party at pag-access ng API.

Ang isa sa mga pinagmulan (o marahil mga sanga) ay ang bug na natuklasan sa loob ng Google+, kung saan theoretically (ang kumpanya ay hindi maaaring sabihin kung ito ay inabuso o hindi) nakalantad na di-pampublikong profile ng data sa apps na dapat lamang natanggap ng pampublikong profile ng gumagamit. Ito, kasama ang katotohanang hindi kailanman pinatutunayan ng Google+ ang sarili nitong pag-iral sa unang lugar, na humantong sa serbisyo na talagang isinara. "Ang bersyon ng mamimili ng Google+ ay kasalukuyang may mababang paggamit at pakikipag-ugnayan," inamin ng Google. "90 porsiyento ng mga session ng user sa Google+ ay mas mababa sa limang segundo."

Subalit ang koponan na gumagawa ng pagsusuri ay may maraming iba pang mga suhestiyon upang mapabuti ang proseso ng may-kaalamang pahintulot sa pagbabahagi ng data sa mga third party.

Ang unang pagbabago ay ang pinaka-nakaharap sa gumagamit. Kapag nais ng isang application na ma-access ang data ng iyong Google account – sabihin ang iyong mga nilalaman ng Gmail, Calendar at Drive para sa isang third-party na produktibo app – kakailanganin mong aprubahan ang bawat isa sa mga hiwalay. Magkakaroon ka rin ng pagkakataong tanggihan ang pag-access sa isa o higit pa sa mga kahilingan na iyon, kaya kung hindi mo magplano sa paggamit ng pag-andar ng Drive, maaari mo lamang itong maalis at ang app ay hindi kailanman makakakuha ng pahintulot na iyon.

Ang mga pahintulot ay maaari ding maantala at gated sa likod ng mga aksyon na nangangailangan sa kanila. Halimbawa, kung gusto ng ganitong teoretikal na app na bigyan ka ng pagkakataon na kumuha ng larawan upang idagdag sa isang email, hindi ito kailangang magtanong sa harap kapag na-download mo ito. Sa halip, kapag pinindot mo ang opsyon upang maglakip ng isang larawan, hihilingin ito ng pahintulot upang ma-access ang camera noon at doon. Ang Google ay nagpunta sa isang maliit na karagdagang detalye sa ito sa isang post sa blog ng nag-develop nito.

Kapansin-pansin mayroon lamang ang pagpipilian na "tanggihan" o "pahintulutan," ngunit hindi "tanggihan ang oras na ito" o "pahintulutan ang oras na ito," na nakikita kong kapaki-pakinabang kapag hindi ka ganap na nakasakay sa pahintulot na pinag-uusapan. Maaari mong palaging ibalik ang setting ng manu-mano, ngunit ito ay maganda upang magkaroon ng pagpipilian upang sabihin "okay, ito lang isang beses, kakaiba app."

Ang mga pagbabago ay magsisimulang lumabas sa buwang ito, kaya huwag magulat kung ang mga bagay ay mukhang isang maliit na magkakaibang susunod na pag-download ng isang laro o i-update ang isang app.

May kinalaman sa pangalawa at pangatlong pagbabago sa paglilimita kung aling mga data mula sa iyong Gmail at pagmemensahe ay maaaring ma-access ng mga app, at kung aling mga app ang maaaring mabigyan ng access sa unang lugar.

Sa partikular, hinihigpitan ng Google ang access sa mga sensitibong troso ng data sa mga app na "direktang pinahuhusay ang pag-andar ng email" para sa Gmail at ang iyong default na pagtawag at pagmemensahe apps para sa mga log ng tawag at data ng SMS.

Mayroong ilang mga kaso sa gilid kung saan maaaring nakakainis ito sa mga gumagamit ng kapangyarihan; ang ilan ay may higit sa isang messaging app na bumabalik sa SMS o isinasama ang mga tugon ng SMS, at maaaring mangailangan ito ng mga app na magsagawa ng isang bagong diskarte. At ang mga apps na gusto ng pag-access sa mga bagay na ito ay maaaring magkaroon ng problema sa pagkumbinsi ng mga awtoridad sa pagsusuri ng Google na kwalipikado sila.

Kailangan din ng mga developer na suriin at sumang-ayon sa isang bagong hanay ng mga patakaran na namamahala sa kung anong data ng Gmail ang maaaring magamit, kung paano nila ito magagamit at ang mga hakbang na kailangan nila upang maprotektahan ito. Halimbawa, hindi pinapayagan ang mga app na "ilipat o ibenta ang data para sa iba pang mga layunin tulad ng pag-target sa mga ad, pananaliksik sa merkado, pagsubaybay sa kampanya sa email, at iba pang mga walang kaugnayang layunin." Iyon ay malamang na naglalagay ng ilang mga modelo ng negosyo sa labas ng pagtakbo.

Ang mga application na naghahanap upang mahawakan ang data ng Gmail ay kailangang magsumite ng isang ulat na nagdedetalye ng "application penetration testing, pagsubok ng panlabas na network penetration, pagpapatunay ng pagtanggal ng account, pagsusuri ng mga plano sa pagtugon sa insidente, mga programa ng pagbubunyag ng kahinaan, at mga patakaran sa seguridad ng impormasyon." Walang fly-by-night pinahintulutan ang mga operasyon, malinaw.

Magkakaroon din ng dagdag na pagsusuri sa kung ano ang hinihingi ng mga developer ng permiso upang matiyak na tumutugma ito sa kung ano ang kinakailangan ng kanilang app. Kung humingi ka ng access sa Contact ngunit hindi mo talaga gamitin ito para sa anumang bagay, hihilingin sa iyo na alisin iyon, dahil pinapataas lamang nito ang panganib.

Ang mga iba't-ibang bagong mga kinakailangan ay magkakabisa sa susunod na taon, kasama ang pagsusuri ng aplikasyon (isang proseso ng multi-linggo) na nagsisimula sa Enero 9; makikita ng mga developer na ang kanilang mga apps ay hihinto sa pagtatrabaho sa katapusan ng Marso kung hindi sila sumunod.

Ang medyo maikling timeline dito ay nagpapahiwatig na ang ilang mga apps ay maaaring sa katunayan ay pansamantala pansamantala o permanenteng pansamantala dahil sa mga kahirapan ng proseso ng pagrerepaso. Huwag magulat kung maaga sa susunod na taon makakakuha ka ng isang pag-update na ang sinasabi ng serbisyo ay maaaring magambala dahil sa mga patakaran sa pagsusuri ng Google o katulad nito.

Ang mga pagbabagong ito ay lamang ang unang dakilang paglalabas mula sa mga rekomendasyon ng Project Strobe; maaari naming asahan ang higit pa upang lumitaw sa susunod na ilang buwan, kahit na marahil hindi tulad ng mga kapansin-pansin. Upang sabihin ang Gmail at Android Malawakang ginagamit ang mga app ay isang bagay ng isang maliit na paghahayag, kaya maliwanag na sila ay nakatuon sa una, ngunit maraming iba pang mga patakaran at serbisyo ang walang alinlangan sa kumpanya na makahanap ng dahilan upang mapabuti.