Počet slov v službe Dokumenty Google
Ekosystém aplikácií Google sa považuje za bezpečný, dôveryhodný a overený. Niekoľko výskumníkov v oblasti bezpečnosti však vyjadrilo niekoľko obáv z veľkého počtu aplikácií z domény G Suite Marketplace . Vedci tvrdia, že niekoľko aplikácií má prístup k účtom Gmail a Disk. Aj keď je to pochopiteľné, mnoho aplikácií tiež komunikuje s nezverejnenými externými službami. To by mohlo predstavovať riskantnú príležitosť pre tajné dátové cesty z účtov Google do neoverených a nezverejnených miest alebo entít.
Nedávny výskum, ktorý uskutočnili Irwin Reyes a Michael Lack z laboratória Two Six Labs, zahŕňal rozsiahlu analýzu povolení požadovaných aplikáciami Google tretích strán uvedených na G Suite Marketplace. Duo tvrdí, že zistili, že veľa aplikácií sa nepodarilo správne nainštalovať na testovací účet Google, zatiaľ čo takmer polovica požadovala povolenie na komunikáciu s externými službami, čím sa vytvoril most medzi citlivými údajmi Disku a Gmailu a vonkajším svetom. V prípade niekoľkých aplikácií bolo dátové pripojenie nejasné a dôvody neboli spomenuté otvorene.
Niektoré aplikácie Google G Suite Marketplace majú pochybné požiadavky na povolenie a nejasné pripojenie k externým nezverejneným službám?
Vedci Reyes a Lack uviedli, že na inštaláciu všetkých 1 392 aplikácií uvedených na G Suite Marketplace do testovacieho účtu Google použili automatický skript. Pokračovali v zaznamenávaní povolení, ktoré požadovala každá z aplikácií. Z 1 392 aplikácií, ktoré testovali, zlyhala 405 s mnohými chybami. Zo zvyšných 987 aplikácií, ktoré bolo možné nainštalovať, vyžadovalo 889 aplikácií prístup k údajom používateľov prostredníctvom rozhraní Google API. Nie je potrebné dodávať, že to vyvolalo žiadosť o povolenie, ktorú väčšina používateľov zvyčajne udeľuje.
Je potrebné poznamenať, že takmer polovica alebo 481 aplikácií z G Suite Marketplace požadovala povolenie na komunikáciu s externými službami. To v podstate umožnilo vytvorenie virtuálneho mosta medzi citlivými údajmi Disku a používateľa a službami Gmailu, ktoré boli mimo portfólia spoločnosti Google. Z týchto 481 aplikácií malo 21 percent (103 aplikácií) prístup k súborom na Disku Google a interakciu s nimi, 17 percent (81 aplikácií) malo prístup k e-mailovým schránkam a mohlo s nimi pracovať a 3 percentá (15 aplikácií) mohli pristupovať k údajom z kalendára a mohli s nimi pracovať.
G Suite Marketplace pripravené pre a # súkromie škandál, vedci varujú aplikácie G Suite, ktoré majú prístup k údajom z Disku a Gmailu, o ktorých sa zistilo, že komunikujú s nezverejnenými externými službami. https://t.co/gIWnI3VVNx cez @AlisterBrenton # bezpečnosť #infosec pic.twitter.com/bkeGZYBfVv
- Alister Brenton (@AlisterBrenton) 2. júna 2020
Je dôležité dodať, že niekoľko doplnkov má legitímne dôvody na pripojenie k zabezpečeným externým službám. Vedci však tvrdia, že objavili nepríjemne veľké množstvo aplikácií, ktoré nemali jasný dôvod na nadviazanie spojenia s externými službami.
Je potrebné poznamenať, že používatelia nemajú žiadny prehľad o tom, s ktorou externou službou môžu aplikácie G Suite komunikovať. Okrem toho neexistujú žiadne informácie o povahe a účele komunikácií. Používatelia majú iba popisy aplikácií a pravidlá ochrany súkromia, ktoré vývojári aplikácií poskytli dobrovoľne, aby sa pokúsili pochopiť dôvod, účel a povahu komunikácie aplikácie G Suite Marketplace a externej služby.
Google neimplementuje prísne obmedzenia uložené v „neoverených“ aplikáciách?
Okrem komunikácie s externými službami vedci tvrdili, že je tu ešte jedna, ktorá sa týka problému s procesom kontroly G Suite Marketplace alebo jeho absencie. Proces kontroly je povinný pre všetky aplikácie odoslané na trh. Tento proces sa stáva ešte prísnejším a zdĺhavejším pre aplikácie uskutočňujúce hovory API, ktoré Google klasifikuje ako citlivé alebo obmedzené.
Proces kontroly aplikácií, ktoré uskutočňujú hovory Sensitive API, sa môže pohybovať od 3 do 5 dní. Aplikácie, ktoré uskutočňujú hovory API s obmedzeným prístupom alebo interagujú s údajmi používateľa z Gmailu alebo Disku Google, môžu medzitým trvať 4 až 8 týždňov.
Google umožňuje vývojárom aplikácií dočasne obísť taký zdĺhavý proces kontroly a schvaľovania, aby na G Suite Marketplace uvádzali aplikácie ako „neoverené“. Google iba zalepí výstražný štítok v podobe celostránkovej správy, ktorá používateľov upozorní na nebezpečenstvo inštalácie potenciálne nebezpečnej aplikácie, ktorá ešte neprešla procesom kontroly. Existuje ešte jedno obmedzenie, ktoré sa pokúša obmedziť „neoverené“ aplikácie G Suite na iba 100 inštalácií.
- Výskumníci analyzovali 1 392 aplikácií tretích strán G Suite
-Našli 481 aplikácií pripájajúcich sa k externým službám
- 103 z nich malo plný prístup na Disk Google
- 81 malo plný prístup k službe Gmail
- 15 malo plný prístup k službe Kalendár Google pic.twitter.com/NJzbUShzPy- Catalin Cimpanu (@campuscodi) 2. júna 2020
Vedci však tvrdia, že zistili, že veľa neoverených aplikácií získalo viac ako 100 používateľov, keďže čakali na kontrolu. To výrazne naznačuje, že Google zámerne zmierňuje pevný limit „100 nových používateľov“.
Takéto postupy alebo nesprávna implementácia politík by mohli ľahko viesť k tomu, že sa do obchodu nahrajú škodlivé aplikácie, ktorých jediným účelom je zhromažďovanie údajov od používateľov služieb Google. Väčšina používateľov balíka G Suite spoločnosti Google pochádza z podnikového sektora. To výrazne zvyšuje riziko hackerov sociálneho inžinierstva a podobných útokov.
Vedci navrhujú presunúť proces alebo vyhľadať a udeliť povolenie z inštalačného postupu na čas, keď aplikácie skutočne potrebujú konkrétne povolenie prvýkrát. Reyes a Lack tvrdia, že prechod od povolení k inštalácii k povoleniam za chodu výrazne zvyšuje šance používateľov na spozorovanie podozrivých aplikácií a stiahnutie alebo odmietnutie udelenia povolenia.
Značky google
