web-dev-qa-db-ja.com

「安全性の低いアプリ」に私のGoogleアカウントへのアクセスを許可することの危険性は何ですか?

https://support.google.com/accounts/answer/6010255 によると:

Googleは、最新のセキュリティ標準を使用していない一部のアプリまたはデバイスからのログイン試行をブロックする場合があります。これらのアプリやデバイスは侵入しやすいため、ブロックするとアカウントをより安全に保つことができます。

それらの「最新のセキュリティ標準」とは何ですか、なぜそれらをサポートしていないアプリを許可することが危険なのですか?また、これらのアプリを使用しない場合、オプションを有効にする(安全性の低いアプリを許可する)のは危険ですか?もしそうなら、なぜですか?

私はそれがIMAP上のOAuth2.0かもしれないと信じています( this ページによると)。私の知る限り、これはGoogle独自の拡張機能であり、他のサービスプロバイダーでは使用されていません。

私の特定のケースでは、Kmail(v4.14.0)とIMAPを使用してGmailアカウントにアクセスしようとしていました。

74
Hjulle

私の理解では、「安全性の低いアプリ」とは、資格情報を直接Gmailに送信するアプリケーションを指します。認証情報を第三者に渡して認証機関に提供すると、多くの問題が発生する可能性があります。第三者は、ユーザーに通知せずに認証情報をストレージに保存し、アプリケーションの指定された範囲外の目的で認証情報を使用する場合があります。暗号化せずにネットワーク経由で資格情報を送信する場合があります。

さらに、IMAPクライアントなど、ユーザーがローカルにインストールしたアプリの場合もあります(googleからの次のサポートノートを参照してください: https://support.google.com/accounts/answer/6010255?hl=ja

「安全性が低い」とは、認証情報を使用するアプリが必ずしもセキュリティホールでいっぱいであったり、犯罪者によって実行されたりすることを意味するものではありません。むしろ、これは動作のカテゴリ-資格情報を第三者に提供する-つまり、使用するよりも基本的に安全性が低い OAuthのような承認メカニズム。承認があれば、第三者があなたの資格情報を見ることを決して許さないので、問題のカテゴリー全体が即座に排除されます。

OAuthでは、資格情報を使用してGmailに対して直接認証し、アプリに特定の操作を許可します。サードパーティアプリは、Googleから提供された承認トークンを、ユーザーが正しく認証し、そのアプリを承認することに同意した証拠としてのみ表示します。

安全性の低いアプリをenable有効にする(---に対してを使用する信頼できない特定のアプリを使用するのは)危険な理由については、私はm完全に定かではありません。 Googleが認証を拒否するのは、アプリケーションに認証情報をすでに渡した後で発生します。第三者に認証情報を提供するときはいつでも、「安全性の低いアプリ」による認証を許可したかどうかは関係ありません。誰かがログイン画面をロードして直接ログインするだけです。あなたのように。私が考えることができる唯一の可能なケースは:

  • おそらく「アプリベース」のログイン試行は、「人間ベース」のログイン試行とは異なる方法で処理されます。特に、場所の突然の変化に対する処理は異なります。多分あなたが使用しようとしている「安全性の低い」アプリは別の大陸にサーバーを持っているので、別の大陸からのログイン画面を使用しようとしたときにアプリが他の場所でログインを試みてもGmailに疑いはありません人間は疑わしいでしょう。

  • おそらく「安全性の低い」認証方法には、認証情報をサードパーティに直接公開しない他のいくつかのログイン方法が含まれますが、他の方法では安全性は低くなりますOAuth 2.0攻撃者による盗聴に対して脆弱であるか、攻撃者がパスワードを知らなくてもアカウントに簡単にアクセスできるようにします)。

これらの2つのポイントは純粋な推測は真実ではない可能性があります実際の事実。

50
apsillers

コメントするほどの評判はありませんが、問題を「見つけた」ときの自分の経験を追加したいと思います...

新しいメールクライアントをセットアップしていた Airmail 2. GoogleのSMTPサーバーを使用してGmailアカウントに代わってメールを送信する。

今、私の設定は「common」ではない可能性があります。この特定のGmailアドレスを別のアドレスに転送しています。これは、Airmailから使用しているアドレスです。 m Gmailアドレスをそのアカウントの「エイリアス」として設定します。スパムのように見えるのを避けるために、Airmailでは、「from」エイリアスを送信するときに使用する特定のSMTPサーバーを設定できます。

私は別のGmailアカウントをAirmailで設定しましたが、「ファンキー」な設定やリダイレクトはありませんが、正常に機能しています(たとえば、「セキュリティの低下」に関するメッセージはありません)。そこで、SMTP設定を「通常の」アカウントから新しいアカウントにコピーしました。

これらは、「クラシック」アカウントの設定です。

Old Gmail Account SMTP Settings

そして、これらは "エイリアス" SMTPサーバー用のものです:

New Gmail Account SMTP Settings

違いに気づきましたか?私もダメ!!

私は周りを見回しており、前述のページ、Googleのセキュリティ記事 新しいセキュリティ対策は古い(非OAuth 2.0)アプリケーションに影響を与える 変更が発表される場所-これも見つけました-これ段落(私の強調点!)は、他の多くの「アプリクライアント」(Dropboxなど)と同じように、アカウントにアクセスするためにアプリを「承認」する必要があることを示唆しているようです:

そのため、2014年の後半から、ユーザーがGoogleにログインするときに実行されるセキュリティチェックを段階的に増やします。これらの追加チェックにより、ブラウザー、デバイス、アプリケーションのいずれを介しても、意図したユーザーのみが自分のアカウントにアクセスできるようになります。これらの変更は、ユーザー名やパスワードをGoogleに送信するすべてのアプリケーションに影響します。

私はそれ自体に反対しているわけではありませんが、アプリを検討するためにsafeとアプリが何をする必要があるかについての詳細を知っていただければ幸いです。必要な変更...

このトピックに関する詳細情報: GMailは安全性の低いアプリをブロックし始めます:アクセスを再度有効にする方法

さらに不可解なのは、2FAが有効になっていないため、「他の」Gmailアカウントではこのタイプのメッセージがトリガーされないため、前の記事によると、これらのエラーのいくつかが発生するはずです!

更新2014-12-31、17:52 GMT:好奇心から、古いGmailアカウントの設定を確認しました。実際には(Googleが呼び出すように)「セキュリティが低い」に設定されていることがわかります。 Googleがこの機能を導入したとき、「less-secure」クライアントによってアクセスされている既存のアカウントのデフォルトは、(アクセスされたとき。

一方、元のGoogleブログ投稿のコメントの一部にあるように、Googleがセキュリティを心配しているのは素晴らしいことですが、単純なログインではなく、CRAM-MD5やDIGEST-MD5などの認証をサポートすることから始められた可能性もあります。 。

5
JJarava

人々は、GMailユーザーの資格情報を保護するために適切なアクションをとらないモバイルアプリを使用しています。つまり、Googleができることは、Googleができることだけです。つまり、悪意のあるハッカーがユーザーとパスワードを投げることを禁止し、信頼できる認証方法(自分のものです!).

これらのアプリの問題は1つではありませんが、さまざまです。データ暗号化にssl/tlsを使用しないものや、ハッカーが通信を仲介できるようにするものなどがあります。

これにより、攻撃者がユーザーのGmailの認証情報を取得できるようになり、アカウントの侵害につながります。

そこで、Googleは認証方式から認可方式に変更しました。これは、GitHubが使用する方法に似ています。

0
DarkLighting