Google’ın Bu Yeni Hesap Koruma Özelliği, Yayılmayı Önleyen Hack’leri Durdurmak İçin Tasarlandı
Google , Google Oturum Açma özelliğini kullanan geliştiricilerin, hizmetlerin yayılmasını daha da zorlaştırmak için hesap kesmeleri gibi güvenlik sorunları hakkındaki bilgileri otomatik olarak paylaşmalarını sağlayan yeni bir özellik duyurdu . Kullanıcı hesaplarıyla ilgili güvenlik sinyalleri göndermek ve almak için yeni bir çapraz hesap koruma (CAP) protokolü tasarlanmıştır, böylece bir hizmetin ihlali, bir saldırganın o kişinin hesabını başka birinin hesabına bağlamasına izin vermeyebilir.
Bilgisayar korsanlarının bir hesaba sızması ve başka bir hedefe ulaşması için onu kullanması oldukça yaygındır. (Örneğin, birkaç yıl önce bilgisayar korsanlarının Twitter hesabımı ele geçirmek istediklerinde, bunu ilk önce e-postalarıma erişmek için kullandıkları Amazon hesabıma erişerek, bir dizi saldırıyı tetikleyerek yaptılar.) Bu, e-posta ve cep telefonu hesaplarını yapıyor merkezi başarısızlık noktaları olma olasılığı daha yüksektir, çünkü genellikle giriş olarak kullanılırlar. Veya Google’ın geliştirici kimlik araçları için kıdemli ürün yöneticisi olan Adam Dawes, “tüm yumurtalarınız posta sağlayıcınızın sepetinde” dedi.
Şu anda, bir e-posta veya hücre servisi gibi bir kimlik sağlayıcısı bir sorun tespit ettiğinde, birisinin o sağlayıcıyı oturum açmış olarak kullanmış olabileceği diğer tüm hizmetleri uyarmak için yapabileceği pek bir şey yoktur. Örneğin, bir Gmail adresiyle Evernote’ta oturum açtığınızı varsayalım. Google hesabınıza erişen bir kişi daha sonra Google Oturum Açma özelliğini kullanmayı seçerek Evernote’a giriş yapmak için de kullanabilir. Ve Google saldırganı yakalayıp kendi hizmetinden attıysa bile, o kişi Evernote’ta oturum açmaya devam edebilirdi. Hesaplar arası koruma, Google Sign-In kimlik doğrulama hizmetini kullanarak hesap güvenliğini etkin bir şekilde bağlayarak bu güvenlik açığını gidermeyi amaçlar.
CAP, farklı hizmetlerin ortak bir kullanıcı hakkında – bir hesabın kaçırılmasının veya devre dışı bırakılmasının, bir kullanıcının tüm oturumlardan çıkış yapmasının, bir şifre değişikliğini zorlamasının ve bunun bir hesap aslında bir bot. Bu daha sonra geliştiricilere etkilenen hesapta işlem yapma seçeneği sunar.
Bu, yeni özelliğin çalışması için şimdilik birisinin Google Oturum Açma ile oturum açması gerektiği anlamına geliyor – yalnızca bir Gmail adresi yeterli değil. (Bununla birlikte, diğer kimlik sağlayıcıları da protokolü uygulayabilecektir.)
Google’ın kimlik ekibini yöneten ürün yönetimi direktörü Mark Risher, “İnsanların birçok yerde depolanmış verileri var, ancak hepsinin kilitlenip korunmalarını sağlamak gittikçe zorlaşıyor” dedi. “Etkili bir şekilde başarmaya çalıştığımız şey interneti daha güvenli hale getirmek.”