早上收到社区里面有位朋友的 [Skillpages]1 邀请,于是赶紧就注册了,结果因为一时不慎着了道。
如果使用 Google OAuth2 登陆 SkillPages,在授权时请求了很多权限,但因为没有仔细阅读权限列表,结果害人害已。
skillpages.com is requesting permission to:
- Manage your contacts
- View and manage your Google Contacts
- View basic information about your account
- View your name, public profile URL, and photo
- View your gender and birthdate
- View your country, language, and timezone
- View your email address
- View the email address associated with your account
其中 View and manage your Google Contacts 这一项非常危险,它授权应用完全控制你的联系人,不但能拿你所有 联系人的信息,还可以管理你的联系人,换句话说,就是把你的联系人全部删除,你也没有脾气。
SkillPages 拿到联系人数据后,以使用者的身份,随机向其联系人发送邀请邮件,目前为止,我已经有4位朋友被我牵连, 然后他们也会循环这个过程。
想象一下,这个连锁效应其实很可怕,最后 SkillPages 能够拿到的联系人信息的数量是非常巨大的,然后他们就可以: 发送推广广告、虚假中奖信息及钓鱼网站等。
今天早上我还接到了润乾公司售前的电话,询问我发给她的邮件是什么东西,如果这样的事件再多几件,会害死人的。
虽然你可以通过 SkillPages 的设置页面将自己的帐户永久删除,或者通过 Google 的应用授权管理页面移除对 SkillPages 的授权,但其实已经迟了,他们已经拿到了想要的东西。
对于通过用户邮箱联系人邀请用户这样的行为,正规网站的作为是让用户主动去选择邀请哪些朋友,毕竟邀请邮件发送到一些 邮件列表的后果是非常严重的,好在 SkillPages 只是伪造使用者姓名,而不是直接拿使用者的邮件发送邀请邮件,可能对一些 邮件列表还无法染指。
最近再来联想下国内一些第三方登陆的应用,会不会也出来像 SkillPages 这样的流氓行为?
或者是否应该有这样一款 Chrome 扩展,能够在授权操作时醒目的提示出那些可能比较危险的授权,或者能够大家共享一份用授权 胡作非为的网站的黑名单,用户在访问时能够提前得到预警,以避免损失。
-
http://www.skillpages.com/ ↩