查看原文
其他

Project Strobe: 确保用户数据安全

Google Play 谷歌开发者 2019-05-01

作者: Ben Smith, Google 技术副总裁

许多第三方应用、服务和网站都构建在我们的各种服务之上,以便改善每个人的移动、工作生活和在线体验。我们强烈支持这个活跃的生态系统。但是,未来的成功将越来越取决于用户是否知悉他们的数据安全状况,以及开发者是否遵循明确的规则。


多年来,我们不断强化我们的控制和政策,以便应对定期的内部审查、来自用户的反馈以及对数据隐私和安全的不断变化的期望。


>> 强化开发者身份认证与注册流程以保护用户数据安全:

https://developers.googleblog.com/2017/05/updating-developer-identity-guidelines.html


>> 强化应用安全与性能表现:

https://android-developers.googleblog.com/2017/12/improving-app-security-and-performance.html


>> 账户安全报告页面:

https://myaccount.google.com/security-checkup


今年年初,我们开始了一项名为 Project Strobe 的工作 —— 对第三方开发者访问 Google 帐户和 Android 设备数据以及我们围绕应用数据访问的理念进行彻底的审核。该项目考察了我们对隐私保护的控制,用户因为担心数据隐私而选择回避使用我们的 API 的平台/服务,开发者可能会获得过多访问权限的领域,以及政策应该收紧的领域。  


我们今天宣布 Project Strobe 的前四个调查结果和采取的行动。



发现 1: 我们在创建和维护满足消费者期望的成功 Google+ 产品过程中遭遇了重大挑战


采取的行动:我们将关闭消费者版 Google+。


多年来,我们收到的反馈是,人们希望更好地了解应该如何控制他们与 Google+ 平台上的应用分享的数据。因此,作为 Project Strobe 的一部分,我们的首要任务之一是仔细审核与 Google+ 相关的所有 API。  


有评论文章总结了我们这段时间的调查结果:虽然我们的工程团队多年来在构建 Google+ 方面付出了很多努力,做出了大量的贡献,但它并没有被消费者或开发者广泛采用,并且用户与应用的互动相当有限。目前,Google+ 消费者版本的使用率和参与度都比较低:90% 的 Google+ 用户使用过程不足 5 秒。


我们的审查表明,我们的 Google+ API 以及与消费者相关的控制措施在开发和维护方面难度过大。我们在 Project Strobe 审查活动中着重关注了这一点,并在一个 Google+ People API 中发现了 bug:

  • 用户可以通过该 API 向 Google+ 应用授予对其个人资料数据及其朋友的公开个人资料信息的访问权限。

  • 该 bug 意味着,应用还可以访问与用户共享但未标记为公开的个人资料字段。  

  • 此数据仅限于静态的可选 Google+ 个人资料字段,包括姓名、电子邮件地址、职业、性别和年龄。它不包括您发布或连接到 Google+ 或任何其他服务的任何其他数据,例如 Google+ 发帖、消息、Google 帐户数据、电话号码或 G Suite 内容。


>> People API 个人资料字段详细说明:

https://developers.google.cn/+/web/api/rest/latest/people


  • 我们在 2018 年 3 月发现并立即修补了此 bug。我们认为 bug 出现的原因,是该 API 发布后与随后发生的 Google+ 代码更改产生了相互作用。

  • 我们在创建 Google+ 时就考虑到了隐私权,因此仅将此 API 的日志数据保留了两周。这意味着我们无法确认哪些用户受到了这一 bug 的影响。但是,我们在修补 bug 前的两周内进行了详细分析,根据该分析,最多 500,000 个 Google+ 帐户的个人资料可能会受到影响。我们的分析显示,438 个应用可能使用过此 API。

  • 我们没有发现任何开发者知道此 bug 或滥用此 API 的证据,我们没有发现任何证据表明任何用户资料数据被滥用。


每年,我们都会向用户发送数百万条有关隐私和安全漏洞的通知。每当用户数据可能受到影响时,我们会严格以用户为中心 —— 而不仅仅止步于法律义务,来确立若干标准,并以此标准决定是否需要提供通知。


我们的隐私和数据保护办公室审查了这个问题,查看了所涉及的数据类型,了解了我们是否能够准确找到需要发送通知的用户,是否存在任何滥用的证据,开发者或用户是否可以采取任何行动以作出回应。调查结果表明,上面提及的 bug 并不足以需要我们发送安全通知或者采取其他行动。


但这次审查确实指出了一个问题:我们在创建和维护满足消费者期望的成功 Google+ 产品过程中遭遇了重大挑战。鉴于这些挑战以及消费者版 Google+ 极低的使用率,我们决定关闭消费者版 Google+。


为了给人们提供充裕的过渡时间,我们决定在 10 个月的期间内实施这一关停计划,计划在明年 8 月底完成。在接下来的几个月中,我们将向消费者提供额外的信息,其中就包括下载和迁移数据的方式。


与此同时,许多企业客户发现在公司内使用 Google+ 很有价值。我们的调查表明,Google+ 更适合作为企业产品,员工可以在安全的企业社交网络上进行内部讨论。企业客户可以为整个组织设置通用访问规则,并使用中央控制机制。我们决定专注于企业版本,并将推出专为企业用户打造的新功能。我们将在未来分享更多这方面的信息。  



发现 2: 人们希望对通过应用共享的数据进行精细控制


采取的行动:我们将发布颗粒度更好的 Google 帐户权限,这些权限将显示在独立的对话框中。


当应用提示您访问 Google 帐户数据时,我们始终要求您知晓应用所要求的数据是哪些,而且您必须明确授予其权限。


今后的消费者将对他们选择与每个应用分享的帐户数据进行更精细的控制。应用将不再使用一个对话框向您索取所有的数据访问权限,而必须针对每个权限,在其独立的对话框中逐一向您进行确认。例如,如果开发者请求访问日历条目和 Drive 文档,您将能够选择共享其中一个而拒绝另外一个。


>> 更精细的 Google 账户控制功能:

https://developers.googleblog.cn/2018/10/more-granular-google-account.html


当应用请求访问您的消费者版 Google 帐户中的任何数据时,这个过程是这样的 (您始终可以选择是否对该请求授予权限):

这个过程将会变成如下更细致的操作:




发现 3: 当用户授权应用访问其 Gmail,是基于特定的使用场景做出的选择



采取的行动:即便用户已经授权,我们也会对使用场景进行限制。


我们正在更新针对消费者版 Gmail API 的用户数据政策,以限制可能获得访问您的消费者版 Gmail 数据权限的应用。只有直接增强电子邮件功能的应用 (如电子邮件客户端、电子邮件备份服务和生产力服务,例如 CRM 和邮件合并服务) 才有权访问此数据。此外,这些应用需要同意有关处理 Gmail 数据的新规则,并且需要接受安全评估。 (G Suite管理员和以前一样,可以控制其管理的用户们的应用。)


>> 消费者版 Gmail API 的用户数据政策:

https://developers.google.cn/terms/api-services-user-data-policy


>> 在我们的 API 生态系统中进一步获得用户信赖:

https://cloud.google.com/blog/products/g-suite/elevating-user-trust-in-our-API-ecosystem/


您始终可以在我们的账户安全报告页面中查看和控制哪些应用可以访问您的 Google 帐户数据 (包括 Gmail)。


>> 账户安全报告页面:

https://myaccount.google.com/security-checkup




发现 4: 当用户向 Android 应用授予短信、联系人和电话权限时,他们同样是基于特定的使用场景做出的选择



采取的行动:我们准备限制应用在 Android 设备上接收通话日志和短信权限的能力,并且不再通过 Android Contacts API 提供联系人互动数据。


某些 Android 应用会要求获得访问用户手机  (包括通话记录) 和短信数据的权限。今后,Google Play 将只允许部分应用请求这些权限。只有被您选定为默认应用的电话应用或短信应用才能发出这些请求。有一些例外情况,例如语音邮件和备份应用不受此限制。


>> 开发者政策更新说明:

https://play.google.com/about/updates-resources/


>> 使用短信或通话记录权限:

https://support.google.com/googleplay/android-developer/answer/9047303?hl=en


此外,作为 Android Contacts 权限的一部分,我们提供了基本的交互数据 —— 例如,短信应用可以向您显示最近联系人。我们将在未来几个月内从 Android Contacts API 中删除对联系人互动数据的访问权限。


在接下来的几个月中,我们将在更多 API 中推出更多控制和更新策略。在这一过程中,我们将与开发者合作伙伴协作,为他们提供充裕的时间,以便调整和更新他们的应用和服务。


我们的目标是支持各种有用的应用,同时保证每个人都确信他们的数据是安全的。我们向开发者提供更加明确的规则,并帮助用户控制他们的数据,从而确保实现这个目标。



 点击屏末 |  | 查阅更多 “谷歌开发者” 公众号推文




推荐阅读:

· 如何获得更小的应用文件尺寸?来了解下 Android App Bundle
· 应用崩溃了?Android vitals 帮您精确诊断
· 非常重要!请 Google Play 开发者详细阅读政策变更,以免现有应用受到影响

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存