Googlen G Suite -sovellukset, jotka kommunikoivat ja mahdollisesti jakavat G-Drive- ja Gmail-tietoja julkistamattomien ulkoisten palveluiden kanssa?

Uutiset
Ohjelmisto / Googlen G Suite -sovellukset, jotka kommunikoivat ja mahdollisesti jakavat G-Drive- ja Gmail-tietoja julkistamattomien ulkoisten palveluiden kanssa? 3 minuuttia luettu

Sanat lasketaan Google-dokumenteissa



Googlen sovellusekosysteemiä pidetään turvallisena, luotettavana ja vahvistettuna. Muutama tietoturvatutkija on kuitenkin esittänyt muutaman huolen siitä, että suuri joukko sovelluksia on G Suite Marketplace . Tutkijat väittävät, että useilla sovelluksilla on pääsy Gmail- ja Drive-tileihin. Vaikka tämä on ymmärrettävää, monet sovellukset kommunikoivat myös julkistamattomien ulkoisten palveluiden kanssa. Tämä voi tarjota vaarallisen mahdollisuuden salaisille tietoreiteille Google-tileiltä vahvistamattomiin ja julkistamattomiin sijainteihin tai yksiköihin.

Irwin Reyesin ja Michael Lack of Two Six Labsin äskettäin tekemässä tutkimuksessa analysoitiin kattavasti G Suite Marketplacessa lueteltujen kolmansien osapuolten Google-sovellusten pyytämiä käyttöoikeuksia. Duo väittää löytäneensä monet sovelluksista epäonnistuneet asennuksessa oikein testattavalle Google-tilille, kun taas melkein puolet pyysi lupaa kommunikoida ulkoisten palveluiden kanssa luoden sillan käyttäjän arkaluontoisten Drive- ja Gmail-tietojen ja ulkomaailman välille. Useilla sovelluksilla datayhteys oli epäselvä, eikä syitä mainittu avoimesti.

Joillakin Google G Suite Marketplace -sovelluksilla on kyseenalaisia ​​lupapyyntöjä ja epäselvä yhteys ulkoisiin, julkistamattomiin palveluihin?

Tutkijat Reyes ja Lack sanoivat asentaneensa automaattisen komentosarjan asentamaan kaikki G Suite Marketplacessa luetellut 1392 sovellusta testattavalle Google-tilille. He jatkoivat kunkin sovelluksen pyytämien oikeuksien tallentamista. Testatuista 1392 sovelluksesta 405 epäonnistui lukuisilla virheillä. Jäljellä olevista 987 sovelluksesta, jotka voitiin asentaa, 889 sovellusta vaati pääsyä käyttäjätietoihin Google-sovellusliittymien kautta. Tarpeetonta lisätä, tämä laukaisi lupapyynnön, jonka useimmat käyttäjät yleensä myöntävät.



On huomattava, että lähes puolet tai 481 G Suite Marketplacen sovellusta pyysi lupaa kommunikoida ulkoisten palveluiden kanssa. Tämä mahdollisti pohjimmiltaan virtuaalisen sillan luomisen käyttäjän arkaluontoisen Driven ja Gmailin tietojen ja palveluiden välille, jotka eivät kuuluneet Googlen salkkuun. Näistä 481 sovelluksesta 21 prosenttia (103 sovellusta) voisi käyttää ja olla vuorovaikutuksessa Google Drive -tiedostojen kanssa, 17 prosenttia (81 sovellusta) voisi käyttää ja olla vuorovaikutuksessa sähköpostilaatikoiden kanssa ja 3 prosenttia (15 sovellusta) voisi käyttää ja olla vuorovaikutuksessa kalenteritietojen kanssa.



On tärkeää lisätä, että useilla lisäosilla on lailliset syyt muodostaa yhteys turvallisiin ulkoisiin palveluihin. Tutkijat väittävät kuitenkin löytäneensä epämiellyttävän suuren määrän sovelluksia, ei näytä olevan selkeää syytä muodostaa yhteyttä ulkoisiin palveluihin.



On syytä huomata, että käyttäjillä ei ole tietoa siitä, mistä ulkoisesta palvelusta G Suite -sovellukset voivat olla yhteydessä. Lisäksi viestinnän luonteesta ja tarkoituksesta ei ole tietoja. Käyttäjillä on vain sovelluskehittäjien vapaaehtoisesti antamat sovelluskuvaukset ja tietosuojakäytännöt yrittää ymmärtää G Suite Marketplace -sovelluksen ja ulkoisen palvelun viestinnän syy, tarkoitus ja luonne.

Google ei noudata tiukasti vahvistamattomille sovelluksille asetettuja rajoituksia?

Ulkoisten palveluiden kanssa tapahtuvan viestinnän lisäksi tutkijat väittivät, että G Suite Marketplacen tarkistusprosessissa tai sen puuttumisessa on vielä yksi asia. Tarkistamisprosessi on pakollinen kaikille torille lähetetyille sovelluksille. Prosessi tulee entistäkin tiukemmaksi ja pitemmäksi sovelluksille, jotka tekevät API-kutsuja, jotka Google luokittelee joko herkiksi tai rajoitetuiksi.

Sensitive API -soittoja soittavien sovellusten tarkistusprosessi voi vaihdella 3-5 päivästä. Sillä välin sovellukset, jotka soittavat rajoitettuja API-puheluita tai ovat vuorovaikutuksessa käyttäjän Gmail- tai Google Drive -tietojen kanssa, voivat kestää 4–8 viikkoa.

Välttääkseen väliaikaisesti tällaisen pitkän tarkastus- ja hyväksymisprosessin Google antaa sovelluskehittäjien luetteloida sovellukset vahvistamattomina G Suite Marketplacessa. Google vain lyö varoitusmerkinnän koko sivun muodossa, joka varoittaa käyttäjiä vaarasta asentaa mahdollisesti vaarallinen sovellus, jota ei ole vielä läpäisty tarkistusprosessinsa läpi. Vielä yksi rajoitus yrittää rajoittaa 'vahvistamattomat' G Suite -sovellukset vain 100 asennukseen.

Tutkijat väittävät kuitenkin löytäneensä, että monet tarkistamattomat sovellukset olivat saaneet yli 100 käyttäjää odottaessaan tarkistusta. Tämä viittaa vahvasti siihen, että Google on tarkoituksellisesti keventänyt '100 uuden käyttäjän' kovaa rajaa.

Tällaiset käytännöt tai käytäntöjen heikko täytäntöönpano voivat helposti johtaa haitallisten sovellusten lataamiseen kauppaan ainoana tarkoituksena kerätä tietoja Google-käyttäjiltä. Suurin osa Googlen G Suite -pakettien käyttäjistä on yrityssektoria. Tämä lisää merkittävästi sosiaalisen suunnittelun hakkerien ja vastaavien hyökkäysten riskiä.

Tutkijat ehdottavat prosessin siirtämistä tai luvan hakemista ja myöntämistä asennusprosessista siihen aikaan, jolloin sovellukset todella tarvitsevat erityistä lupaa ensimmäistä kertaa. Reyes- ja Lack-väitteet, siirtyminen asennusajan käyttöoikeuksista ajoaikaisiin käyttöoikeuksiin, parantavat merkittävästi käyttäjien mahdollisuuksia huomata epäilyttävät sovellukset ja palata takaisin tai kieltäytyä myöntämästä lupaa.

Tunnisteet Google