พบช่องโหว่ใน Gmail ทำให้ Third Party Apps ของ Gmail สามารถเข้าอ่านอีเมลได้

เมื่อประมาณวันที่ 1 มิถุนายน Wall Street Journal (WSJ) ได้ออกรายงานเกี่ยวกับช่องโหว่ในอีเมลของ Gmail ทำให้ ผู้พัฒนาแอพ Third Party ของ Gmail สามารถเข้าไปอ่านอีเมล รวมไปถึง id ของผู้รับอีเมล, timestamps และเนื้อหาทั้งหมดในอีเมลของผู้ใช้ได้ ช่องโหว่นี้เกิดจากการเปิดการใช้งาน “ให้มีสิทธิ์เข้าถึงได้” (Has access to Gmail) ใน inbox ของ Gmail

ภาพจาก : The Hacker News

ในตอนนี้ทาง Gmail ยังไม่มีวิธีการจำกัดการเข้าใช้งานในอีเมล ในตอนนี้แนะนำให้ผู้ใช้ปิดการใช้งานการเข้าถึงแอพ (ปุ่ม “Remove Access”)

ปกติแล้วทาง Google จะอนุญาตให้ผู้พัฒนาแอพสร้างบริการที่ใช้งานร่วมกับ Gmail อย่างเช่น บริการอีเมล, เปรียบเทียบราคาสินค้า และการวางแผนการเดินทางแบบอัตโนมัติ ซึ่งมีผู้ใช้บริการแอพเหล่านี้หลายล้านรายทำให้เกิดความเสี่ยงที่ผู้พัฒนาแอพจากภายนอกสามารถอ่านข้อความในจดหมายได้

ทางโฆษกของ Google ได้แจ้งว่า ทางบริษัทได้ทำการตรวจสอบผู้พัฒนาแอพก่อนที่ให้สิทธิ์การเข้าถึงบริการของบริษัท ซึ่งถ้าหากมีผู้พัฒนาแอพคนใดเข้าไปในส่วนของข้อมูล และมีการดำเนินการที่น่าสงสัย ทาง Google จะจัดการกับผู้พัฒนาคนนั้นทันที

จะเห็นได้ว่าแอพเหล่านี้ได้รับการยินยอมจากผู้ใช้ ให้สามารถเข้าถึง inbox ได้ เพราะเป็นกระบวนการในการแจ้งข่าวสารให้แก่ผู้ใช้ แต่การที่ผู้พัฒนาแอพสามารถอ่าน และเข้าถึงข้อมูลสำคัญของผู้ใช้ได้ นั้นเป็นสิ่งที่ทำให้ผู้ใช้ประหลาดใจ และไม่เข้าใจว่าพวกเขาลงทะเบียนไปเพื่ออะไร

ในตอนนี้ผู้ใช้สามารถแชร์ความคิด หรือรายงานให้ทาง Google ทราบ ในกรณ๊ที่พบว่าเว็บไซต์ หรือแอพที่ไม่จำเป็นสามารถเข้าถึงบัญชี Google ของผู้ใช้ได้

ที่มา: The Hacker News