Como o Google está impedindo ataques de phishing de aplicativos não verificados
O Google está aumentando seus esforços para bloquear tentativas de phishing que utilizam permissões de aplicativos de terceiros para obter acesso às contas do Gmail dos usuários. Esses ataques de phishing convidam o usuário a garantir uma permissão para que aplicativos gerenciem suas contas do Google – algo que diversos aplicativos seguros fazem, também – e então exploram essas permissões para tomar a conta ou enviar spam.
• Tudo o que você precisa saber sobre o grande ataque de phishing desta semana
• Senhas de e-commerce brasileiros não vazaram
Para evitar esse tipo de ataque, o Google está adicionando uma nova tela ao processo de permissões que irá alertar os usuários que o aplicativo é novo ou que não foi verificado – sinais de que ele pode estar ligado a uma tentativa de golpe.
“A tela de ‘aplicativo não verificado’ antecede a de consentimento de permissões para o app e permite que potenciais usuários saibam que o aplicativo ainda precisa ser verificado. Isso ajudará a reduzir o risco de dados de usuários sendo atacados por pessoas maliciosas”, escreveram os funcionários do Google Naveen Agarwal e Wesley Chun, em uma publicação na página oficial da empresa.
O alerta se parece um pouco com o aviso do Chrome quando a criptografia HTTPS de um determinado site não é confiável. Ela exige que os usuários cliquem nas configurações avançadas antes que possam comprometer-se a garantir as permissões para o aplicativo. É assim que ele irá aparecer na sua tela:
Imagem: Google
O Google recentemente começou a exigir que novos aplicativos para o Gmail passem por um processo de verificação para identificar possíveis riscos antes de serem aprovados. Além do novo sistema de alertas, o Google exigirá que alguns aplicativos já existentes passem por esse processo de verificação.
Os alertas e análises têm como objetivo apoiar uma área de vulnerabilidade dos usuários do Gmail que talvez não estejam cientes dos riscos de segurança que podem acontecer ao conceder permissões para aplicativos não confiáveis. Esse tipo de brecha OAuth está crescendo, então é bom ver que o Google está trabalhando na prevenção dessa ameaça.
Imagem do topo: AP