Входите на сайты через кнопку Google? Исследователи раскрыли механизм слежки через безобидную форму регистрации

6598
Входите на сайты через кнопку Google? Исследователи раскрыли механизм слежки через безобидную форму регистрации

Proton объяснил, почему кнопка «Войти с Google» опаснее, чем кажется.

image

Proton призвал пользователей отказаться от входа на сайты через кнопку «Войти с Google». В компании считают, что удобная функция незаметно превращает аккаунт Google в главный ключ от цифровой жизни, а заодно даёт корпорации лишние данные о поведении человека в сети.

Кнопка «Войти с Google» появилась не сразу в нынешнем виде. В 2013 году Google запустила вход через Google+, а позже стала тестировать более нейтральную надпись «Войти с Google». В 2016 году Google+ перестали упоминать, и сервис получил привычный вид.

Призыв Proton не использовать кнопку авторизации Google

Призыв Proton не использовать кнопку авторизации Google (@ProtonMail)

Изначально у Google было несколько причин продвигать такую авторизацию. Компания не хотела, чтобы Facebook* стал главным способом входа на сайты по всему интернету. Кроме того, Google предлагала пользователям более простой путь: не нужно было создавать отдельные учётные записи и запоминать новые пароли для каждого сервиса.

Был и вопрос безопасности. Небольшие сайты часто защищали учётные записи хуже крупных компаний, а Google могла предложить двухфакторную проверку и помогала находить слабые пароли. На первый взгляд, такой подход действительно упрощал жизнь и снижал часть рисков.

Proton предупреждает, что со временем удобная кнопка создала другую проблему. Если злоумышленник получит доступ к аккаунту Google, он сможет войти на сайты, где пользователь выбрал такую авторизацию. В некоторых случаях атакующий также сможет сбросить пароли и получить доступ к подключённым приложениям. Чем больше сервисов завязано на один аккаунт, тем выше риск потерять контроль сразу над несколькими учётными записями.

Отдельно Proton говорит о приватности. При входе через Google компания может получать сведения о том, какими сервисами пользуется человек, когда и как часто он входит в аккаунты, какие приложения и сайты запрашивают проверку личности, а также видеть IP-адрес, примерное местоположение, данные об устройстве и браузере.

Вместо входа через Google Proton предлагает использовать псевдонимы электронной почты. Такой псевдоним выглядит как случайно созданный адрес и пересылает письма в основной почтовый ящик. Пользователь может указывать псевдоним при регистрации на сайтах и не раскрывать настоящий адрес. Такой подход не устраняет все риски, но помогает меньше зависеть от одного аккаунта и снижает вероятность утечки основной почты.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.