Aplikacje Google G Suite komunikują się i prawdopodobnie udostępniają dane z G-Drive i Gmaila nieujawnionym usługom zewnętrznym?

Aktualności
Oprogramowanie / Aplikacje Google G Suite komunikują się i prawdopodobnie udostępniają dane z G-Drive i Gmaila nieujawnionym usługom zewnętrznym? 3 minuty czytania

Liczba słów w Dokumentach Google



Ekosystem aplikacji Google jest uważany za bezpieczny, godny zaufania i zweryfikowany. Jednak kilku analityków bezpieczeństwa zgłosiło pewne obawy dotyczące dużej liczby aplikacji z G Suite Marketplace . Badacze twierdzą, że kilka aplikacji ma dostęp do kont Gmail i Dysku. Chociaż jest to zrozumiałe, wiele aplikacji komunikuje się również z nieujawnionymi usługami zewnętrznymi. Może to stanowić ryzykowną okazję dla tajnych ścieżek danych z kont Google do niezweryfikowanych i nieujawnionych lokalizacji lub podmiotów.

Ostatnie badania przeprowadzone przez Irwina Reyesa i Michaela Lacka z Two Six Labs obejmowały obszerną analizę uprawnień wymaganych przez aplikacje Google innych firm wymienione w G Suite Marketplace. Duet twierdzi, że odkrył, że wiele aplikacji nie instalowało się poprawnie na testowym koncie Google, a prawie połowa poprosiła o pozwolenie na komunikację z usługami zewnętrznymi, tworząc pomost między poufnymi danymi użytkownika na Dysku i Gmailu a światem zewnętrznym. W przypadku kilku aplikacji połączenie transmisji danych było niejasne, a powody nie zostały wymienione otwarcie.



Niektóre aplikacje z Google G Suite Marketplace mają wątpliwe wnioski o uprawnienia i niejasne połączenie z zewnętrznymi, nieujawnionymi usługami?

Badacze Reyes i Lack powiedzieli, że użyli automatycznego skryptu do zainstalowania wszystkich 1392 aplikacji wymienionych w G Suite Marketplace na testowym koncie Google. Przystąpili do rejestrowania uprawnień, o które prosiła każda z aplikacji. Spośród 1392 przetestowanych aplikacji 405 zakończyło się niepowodzeniem z licznymi błędami. Z pozostałych 987 aplikacji, które można było zainstalować, 889 aplikacji wymagało dostępu do danych użytkownika za pośrednictwem interfejsów API Google. Nie trzeba dodawać, że wywołało to prośbę o pozwolenie, którą zwykle przyznaje większość użytkowników.



przywróć mac do wcześniejszej daty

Warto zauważyć, że prawie połowa lub 481 aplikacji z G Suite Marketplace prosiło o pozwolenie na komunikację z usługami zewnętrznymi. Pozwoliło to zasadniczo na utworzenie wirtualnego pomostu między poufnymi danymi Dysku użytkownika a danymi i usługami Gmaila, które nie były dostępne w ofercie Google. Spośród tych 481 aplikacji 21 procent (103 aplikacje) mogło uzyskiwać dostęp do plików na Dysku Google i wchodzić z nimi w interakcję, 17 procent (81 aplikacji) mogło uzyskiwać dostęp do skrzynek pocztowych i wchodzić z nimi w interakcję, a 3 procent (15 aplikacji) mogło uzyskiwać dostęp do danych kalendarza i korzystać z nich.



zoptymalizuj system Windows 10 pod kątem gier

Należy dodać, że kilka dodatków ma uzasadnione powody, aby łączyć się z bezpiecznymi usługami zewnętrznymi. Jednak naukowcy twierdzą, że odkryli, że niewygodnie duża liczba aplikacji nie wydaje się mieć wyraźnego powodu do nawiązania połączenia z usługami zewnętrznymi.



Należy zauważyć, że użytkownicy nie mają żadnego wglądu w to, z jaką usługą zewnętrzną mogą się komunikować aplikacje G Suite. Ponadto nie ma informacji o charakterze i celu komunikacji. Użytkownicy mają tylko opisy aplikacji i polityki prywatności dobrowolnie dostarczone przez programistów aplikacji, aby spróbować zrozumieć powód, cel i charakter komunikacji aplikacji G Suite Marketplace z usługą zewnętrzną.

Google nie stosuje rygorystycznie ograniczeń nałożonych na „niezweryfikowane” aplikacje?

Oprócz komunikacji z usługami zewnętrznymi badacze stwierdzili, że jest jeszcze jeden problem związany z procesem recenzji G Suite Marketplace lub jego brakiem. Proces recenzji jest obowiązkowy dla wszystkich aplikacji przesłanych do Marketplace. Proces ten staje się jeszcze bardziej rygorystyczny i długotrwały w przypadku aplikacji, które wykonują wywołania API, które Google klasyfikuje jako wrażliwe lub ograniczone.

Proces recenzji aplikacji, które wykonują wrażliwe wywołania interfejsu API, może trwać od 3 do 5 dni. Tymczasem aplikacje, które wykonują „ograniczone” wywołania interfejsu API lub wchodzą w interakcję z danymi użytkownika w Gmailu lub na Dysku Google, mogą zająć od 4 do 8 tygodni.

Aby tymczasowo ominąć tak długi proces sprawdzania i zatwierdzania, Google pozwala programistom aplikacji umieszczać aplikacje jako „niezweryfikowane” w G Suite Marketplace. Google po prostu umieszcza etykietę ostrzegawczą w postaci całostronicowej wiadomości, która ostrzega użytkowników przed niebezpieczeństwem instalacji potencjalnie niebezpiecznej aplikacji, która nie przeszła jeszcze przez proces weryfikacji. Jest jeszcze jedno ograniczenie, które próbuje ograniczyć „niezweryfikowane” aplikacje G Suite do zaledwie 100 instalacji.

sterowniki dysku twardego Windows 7

Jednak naukowcy twierdzą, że odkryli, że wiele niezweryfikowanych aplikacji zyskało ponad 100 użytkowników w oczekiwaniu na sprawdzenie. To zdecydowanie sugeruje, że Google celowo rozluźnia sztywny limit „100 nowych użytkowników”.

Takie praktyki lub słaba implementacja zasad mogą łatwo doprowadzić do umieszczenia w sklepie złośliwych aplikacji, których jedynym celem jest zbieranie danych od użytkowników Google. Większość użytkowników pakietu G Suite w Google pochodzi z sektora przedsiębiorstw. To znacznie zwiększa ryzyko hacków socjotechnicznych i podobnych ataków.

jak pozbyć się wirusa czerwonego ekranu

Naukowcy sugerują przeniesienie procesu lub uzyskanie i udzielenie pozwolenia z procedury instalacji do momentu, w którym aplikacje faktycznie potrzebują określonego pozwolenia po raz pierwszy. Roszczenie Reyes and Lack, przechodząc od uprawnień w czasie instalacji do uprawnień w czasie wykonywania, znacznie zwiększa szanse użytkowników na zauważenie podejrzanych aplikacji i cofnięcie lub odmowę przyznania uprawnień.

Tagi Google