谷歌Gmail被爆「開後門」數百萬用戶隱私恐「全都露」?

近日媒體出現如標題的聳動新聞,本文借此機會解釋新聞事件提到的資安疑慮,並提供預防方法。

相關新聞:

先舉個例子,如果要請水電工到家裡修冷氣,但白天要上班,所以把鑰匙交給信任的人開門。當今的網路世界也是一樣的,第三方軟體提供功能,而使用者的資料由Google保管,第三方軟體就會向使用者借鑰匙,當然這個鑰匙是很複雜的,可以細分很多種權限,但一切都需要您的同意。而『借鑰匙』這個協定標準叫OAuth2。

Gmail API 是在 2014 6月 釋出,讓第三方軟體可以整合服務:https://developers.google.com/gmail/api/?hl=zh-TW

雲瀚加值服務的『信件回收』功能來說,是為了防護資料而設計,程式需要能夠搜尋跟刪除信件的權限,所以需要管理員到後台設定授權:操作文件

加值服務的所有功能都是為了滿足客戶管理上的需求,除了『信件共用範本』功能會儲存您提交的範本以外,不會以任何形式儲存客戶的資料。客戶也可以在需要的時候才設定授權。

也有很多軟體是放在 Gooel Play Store 或 Apple Apps Store 或網頁服務等等,使用者很可能意外授權到程式,使用者可以透過以下網址查看授權了那些應用程式:https://myaccount.google.com/permissions

G Suite管理員可以怎麼做?

管理後台可以關閉所有API,路徑為:

  1. 管理控制台(admin.google.com)
  2. 左上角主選單
  3. 安全性 > 設定
  4. API 權限 (如附圖)

詳細官方說明頁面 https://support.google.com/a/answer/7281227

管理控制台.png
API 權限設定