Cuvintele contează în Google Docs
Ecosistemul aplicațiilor Google este considerat sigur, de încredere și verificat. Cu toate acestea, câțiva cercetători în domeniul securității au ridicat câteva îngrijorări cu privire la un număr mare de aplicații din Piața G Suite . Cercetătorii susțin că mai multe aplicații au acces la conturile Gmail și Drive. Deși acest lucru este de înțeles, multe dintre aplicații comunică și cu servicii externe nedivulgate. Acest lucru ar putea reprezenta o oportunitate riscantă pentru căile de date clandestine de la conturile Google la locații sau entități neconfirmate și nedivulgate.
Cercetările recente efectuate de Irwin Reyes și Michael Lack din Two Six Labs au implicat o analiză extinsă a permisiunilor solicitate de aplicațiile Google terțe listate pe G Suite Marketplace. Duo susține că au descoperit că multe dintre aplicații nu au reușit să se instaleze corect pe un cont Google de testare, în timp ce aproape jumătate au solicitat permisiunea de a comunica cu servicii externe, creând o punte între datele sensibile ale utilizatorului Drive și Gmail și lumea exterioară. Pentru destul de multe aplicații, conexiunea de date a fost neclară, iar motivele nu au fost menționate în mod deschis.
Unele aplicații Google G Suite Marketplace au cereri de permisiuni îndoielnice și conexiune neclară la servicii externe nedivulgate?
Cercetătorii Reyes și Lack au spus că au folosit un script automat pentru a instala toate cele 1.392 de aplicații listate pe G Suite Marketplace pe un cont Google de testare. Au continuat să înregistreze permisiunile solicitate de fiecare dintre aplicații. Din cele 1.392 de aplicații testate, 405 au eșuat cu numeroase erori. Din celelalte 987 de aplicații care ar putea fi instalate, 889 de aplicații au necesitat acces la datele utilizatorilor prin intermediul API-urilor Google. Inutil să adăugăm, acest lucru a declanșat o cerere de permisiune pe care majoritatea utilizatorilor o acordă de obicei.
Este îngrijorător să menționăm că aproape jumătate sau 481 de aplicații de pe G Suite Marketplace au solicitat permisiunea de a comunica cu servicii externe. Acest lucru a permis în esență crearea unei punți virtuale între datele și serviciile sensibile ale utilizatorului Drive și Gmail aflate în afara portofoliului Google. Dintre aceste 481 de aplicații, 21 la sută (103 aplicații) ar putea accesa și interacționa cu fișierele Google Drive, 17 la sută (81 de aplicații) ar putea accesa și interacționa cu căsuțele de e-mail, iar 3 la sută (15 aplicații) ar putea accesa și interacționa cu datele calendaristice.
G Suite Marketplace este pregătit pentru #privacy scandal, cercetătorii avertizează aplicațiile G Suite care au acces la datele Drive și Gmail găsite comunicând cu servicii externe nedivulgate. https://t.co/gIWnI3VVNx prin intermediul @AlisterBrenton #Securitate #infosec pic.twitter.com/bkeGZYBfVv
- Alister Brenton (@AlisterBrenton) 2 iunie 2020
Este important să adăugăm că mai multe programe de completare au motive legitime de conectare la servicii externe securizate. Cu toate acestea, cercetătorii susțin că au descoperit că un număr incomod de mare de aplicații nu pare să aibă un motiv clar pentru a stabili o conexiune cu servicii externe.
Este îngrijorător să menționăm că utilizatorii nu au nicio perspectivă asupra serviciului extern pe care aplicațiile G Suite îl pot comunica. În plus, nu există informații despre natura și scopul comunicărilor. Utilizatorii au doar descrieri de aplicații și politici de confidențialitate furnizate voluntar de dezvoltatorii de aplicații pentru a încerca să înțeleagă motivul, scopul și natura comunicării unei aplicații G Suite Marketplace și a unui serviciu extern.
Google nu implementează strict restricțiile impuse aplicațiilor „neconfirmate”?
În afară de comunicarea cu serviciile externe, cercetătorii au susținut că mai există o problemă cu privire la procesul de revizuire al G Suite Marketplace sau la lipsa acestuia. Procesul de revizuire este obligatoriu pentru toate aplicațiile trimise pe piață. Procesul devine și mai strict și mai lung pentru aplicațiile care efectuează apeluri API pe care Google le clasifică fie ca Sensitive, fie Restricționate.
Procesul de revizuire pentru aplicațiile care efectuează apeluri API sensibile poate varia de la 3 la 5 zile. Între timp, aplicațiile care efectuează apeluri API „Restricționate” sau interacționează cu datele Gmail sau Google Drive ale unui utilizator pot dura între 4 și 8 săptămâni.
Pentru a ocoli temporar un astfel de proces de revizuire și aprobare, Google le permite dezvoltatorilor de aplicații să listeze aplicațiile ca „neconfirmate” pe G Suite Marketplace. Google nu face decât să plesnească o etichetă de avertizare sub forma unui mesaj de pagină întreagă care avertizează utilizatorii cu privire la pericolul de a instala o aplicație potențial periculoasă care nu a trecut încă prin procesul de revizuire. Există încă o restricție care încearcă să limiteze aplicațiile G Suite „neconfirmate” la doar 100 de instalări.
-Cercetătorii au analizat 1.392 de aplicații terțe G Suite
-Au găsit 481 de aplicații conectându-se la servicii externe
- 103 dintre acestea aveau acces complet la Google Drive
- 81 au avut acces complet la Gmail
- 15 au avut acces complet la Google Calendar pic.twitter.com/NJzbUShzPy— Catalin Cimpanu (@campuscodi) 2 iunie 2020
Cu toate acestea, cercetătorii susțin că au descoperit că multe aplicații neconfirmate au câștigat peste 100 de utilizatori în timp ce așteptau să fie revizuite. Acest lucru sugerează cu tărie că Google relaxează în mod intenționat limita „100 de utilizatori noi”.
Astfel de practici sau implementarea deficitară a politicilor ar putea da naștere cu ușurință a încărcării de aplicații rău intenționate în magazin cu singurul scop de a colecta date de la utilizatorii Google. Majoritatea utilizatorilor pachetului G Suite Google provin din sectorul întreprinderii. Acest lucru crește în mod semnificativ riscul de hacks de inginerie socială și atacuri similare.
Cercetătorii sugerează mutarea procesului sau căutarea și acordarea permisiunii de la procedura de instalare la momentul în care aplicațiile au nevoie de o autorizație specială pentru prima dată. Revendicările Reyes și Lack, trecând de la permisiunile de instalare la permisiunile de execuție, îmbunătățesc semnificativ șansele ca utilizatorii să observe aplicații suspecte și să retragă sau să refuze acordarea permisiunii.
Etichete Google
