注意：第三方 Gmail app 能读取用户邮件

翻译：360代码卫士团队

注意，你几年前曾用过的谷歌 app 可能仍然能够访问私人邮件。

当说到社交媒体隐私时，我们通常会想到 Facebook 使第三方 app 开发者访问用户的个人信息。但 Facebook 并非孤例。

谷歌也拥有无数用户信息，而你所连接的第三方 app 通过单点登录服务也能访问这些数据。尽管谷歌在开发者访问用户数据方面的策略更为严格，但它仍然能使得这些开发者完全访问用户的谷歌账户，包括用户邮件内容和通讯录。

剑桥分析公司丑闻说明，用户追踪连接至社交媒体账户的 app 以及访问授权非常重要。

去年，谷歌承诺停止扫描 Gmail 用户的收件箱以用于数据驱动的广告业务，但据称该公司仍然能让外部 app 开发者窥探日常流经邮件服务的数以亿计的 Gmail 私人信息。   

《华尔街日报》发布新报告揭露了模棱两可的 Gmail app 权限如何导致个人邮件易受数百名第三方开发者的影响。这些第三方开发者能够读取用户最敏感邮件的几乎所有详情，包括收件人的邮件 id、时间戳以及整个邮件主体内容。

这是因为谷歌允许第三方 app 开发者构建和 Gmail 平台运作的服务，如“基于邮件的服务”、“购物价格比较”以及“自动的旅游行程规划”，注册这些服务的数百万用户的私密信息可能遭外部 app 开发者及其员工读取。

显然，这类 app获得用户的同意访问收件箱，但第三方 app 开发者能读取用户信息（通常包含敏感信息）的事实可能让未理解所注册服务的用户大吃一惊。

谷歌的一名发言人回应称，谷歌已经在服务访问授权之前审查了所有的外部 app 开发者，而且如果开发者“闯入披露和实践不清晰的区域，那么谷歌会快速采取措施”。

然而，和剑桥分析公司的情况不同，目前尚未有证据表明 Gmail 扩展的开发人员已滥用用户数据，而是他们有能力查看并读取私人邮件，而这就像是一种隐私噩梦。

是时候检查并删除能访问自己 Gmail 收件箱的第三方 app 了，因为邮件数据要比其它社交媒体平台上的数据要敏感的多。

这是用户目前能采取的唯一一种防御措施，如下：

• 进入谷歌“我的账号”页面，并通过 Gmail 凭证登录 Gmail 邮箱。

• 登陆后，你就能看到并查看所有经授权能访问 Gmail 账户包括 Gmail 在内的第三方 app。

• 如 app 能访问 Gmail 收件箱，则标有“能访问 Gmail”的标签。

• 由于谷歌目前并未提供摆脱此类访问权限的方法，因此用户可通过点击“删除访问”按钮完全禁用 app 的访问权限。

用户如果发现任何站点或 app 对自己的谷歌账户拥有不必要的权限则可向谷歌反馈。

原文链接

https://thehackernews.com/2018/07/google-gmail-apps.html

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。