Vārdi tiek skaitīti Google dokumentos
Google lietotņu ekosistēma tiek uzskatīta par drošu, uzticamu un pārbaudītu. Tomēr daži drošības pētnieki ir izteikuši dažas bažas par lielu skaitu lietotņu no G Suite tirgus laukums . Pētnieki apgalvo, ka vairākām lietotnēm ir piekļuve Gmail un Drive kontiem. Lai gan tas ir saprotams, daudzas lietotnes sazinās arī ar neatklātiem ārējiem pakalpojumiem. Tas varētu radīt riskantu iespēju slepeniem datu ceļiem no Google kontiem uz nepārbaudītām un neatklātām atrašanās vietām vai entītijām.
Nesenie pētījumi, ko veica Irwin Reyes un Michael Lack no Two Six Labs, ietvēra plašu atļauju analīzi, ko pieprasīja trešo personu Google lietotnes, kas norādītas G Suite Marketplace. Šis duets apgalvo, ka viņi atklāja, ka daudzas no lietotnēm neizdevās pareizi instalēt testa Google kontā, savukārt gandrīz puse lūdza atļauju sazināties ar ārējiem pakalpojumiem, izveidojot tiltu starp lietotāja sensitīvo Diska un Gmail datiem un ārpasauli. Daudzām lietotnēm datu savienojums bija neskaidrs, un iemesli netika atklāti minēti.
Dažām Google G Suite Marketplace lietotnēm ir apšaubāmi atļauju pieprasījumi un neskaidra savienošana ar ārējiem, neatklātiem pakalpojumiem?
Pētnieki Reyes un Lack teica, ka viņi izmantoja automatizētu skriptu, lai testa Google kontā instalētu visas 1392 lietotnes, kas norādītas G Suite Marketplace. Viņi sāka reģistrēt atļaujas, kuras pieprasīja katra lietotne. No pārbaudītajām 1392 lietotnēm 405 neizdevās ar daudzām kļūdām. No atlikušajām 987 lietotnēm, kuras varēja instalēt, 889 lietotnēm bija nepieciešama piekļuve lietotāju datiem, izmantojot Google API. Lieki piebilst, ka tas izraisīja atļaujas pieprasījumu, ko parasti piešķir lielākā daļa lietotāju.
Jāatzīmē, ka gandrīz puse jeb 481 lietotne no G Suite Marketplace pieprasīja atļauju sazināties ar ārējiem pakalpojumiem. Tas būtībā ļāva izveidot virtuālu tiltu starp lietotāja sensitīvo disku un Gmail datiem un pakalpojumiem, kas nebija Google portfelī. No šīm 481 lietotnēm 21 procents (103 lietotnes) varēja piekļūt Google diska failiem un mijiedarboties ar tiem, 17 procenti (81 lietotne) varēja piekļūt e-pasta iesūtnēm un mijiedarboties ar tām, bet 3 procenti (15 lietotnes) varēja piekļūt kalendāra datiem un mijiedarboties ar tiem.
G Suite Marketplace sagatavots a #privacy skandāls, pētnieki brīdina G Suite lietotnes, kurām ir piekļuve Diska un Gmail datiem, kas atrasti saziņā ar neatklātiem ārējiem pakalpojumiem. https://t.co/gIWnI3VVNx caur @AlisterBrenton # drošība #infosec pic.twitter.com/bkeGZYBfVv
- Alisters Brentons (@AlisterBrenton) 2020. gada 2. jūnijs
Ir svarīgi piebilst, ka vairākiem papildinājumiem ir likumīgi iemesli izveidot savienojumu ar drošiem ārējiem pakalpojumiem. Tomēr pētnieki apgalvo, ka viņi atklāja nepatīkami lielu skaitu lietotņu, šķiet, nav skaidra iemesla, lai izveidotu savienojumu ar ārējiem pakalpojumiem.
Jāatzīmē, ka lietotājiem nav izpratnes par to, kuru ārējo pakalpojumu G Suite lietotnes var sazināties. Turklāt nav informācijas par saziņas veidu un mērķi. Lietotājiem ir tikai lietotņu apraksti un konfidencialitātes politikas, kuras brīvprātīgi nodrošina lietotņu izstrādātāji, lai mēģinātu izprast lietotnes G Suite Marketplace un ārējā pakalpojuma saziņas iemeslu, mērķi un raksturu.
Google stingri neievieš ierobežojumus, kas piemēroti nepārbaudītām lietotnēm?
Papildus saziņai ar ārējiem dienestiem, pētnieki apgalvoja, ka ir vēl viens jautājums par G Suite Marketplace pārskatīšanas procesu vai tā trūkumu. Pārskatīšanas process ir obligāts visām lietotnēm, kas iesniegtas tirgū. Process kļūst vēl stingrāks un ilgāks tām lietotnēm, kas veic API izsaukumus, kurus Google klasificē kā sensitīvus vai ierobežotus.
Pārskatīšanas process tām lietotnēm, kuras veic sensitīvus API zvanus, var būt no 3 līdz 5 dienām. Tikmēr lietotnes, kas veic “ierobežotus” API zvanus vai mijiedarbojas ar lietotāja Gmail vai Google diska datiem, var ilgt no 4 līdz 8 nedēļām.
Lai īslaicīgi apietu tik garo pārskatīšanas un apstiprināšanas procesu, Google ļauj lietotņu izstrādātājiem G Suite Marketplace norādīt lietotnes kā “nepārbaudītas”. Google tikai uzsit brīdinājuma etiķeti pilnas lapas ziņojuma veidā, kas brīdina lietotājus par potenciāli bīstamas lietotnes instalēšanas draudiem, kas vēl nav izturējis pārskatīšanas procesu. Ir vēl viens ierobežojums, kas mēģina ierobežot “nepārbaudītas” G Suite lietotnes tikai līdz 100 instalācijām.
-Pētnieki analizēja 1392 G Suite trešo pušu lietotnes
-Viņi atrada 481 lietotni, kas savienojas ar ārējiem pakalpojumiem
- 103 no tiem bija pilna piekļuve Google diskam
- 81 bija pilna piekļuve Gmail
- 15 personām bija pilna piekļuve Google kalendāram pic.twitter.com/NJzbUShzPy- Catalin Cimpanu (@campuscodi) 2020. gada 2. jūnijs
Tomēr pētnieki apgalvo, ka, gaidot pārskatīšanu, daudzas nepārbaudītas lietotnes ir ieguvušas vairāk nekā 100 lietotājus. Tas stingri liek domāt, ka Google apzināti atbrīvo stingro ierobežojumu “100 jaunie lietotāji”.
Šāda prakse vai slikta politikas ieviešana var viegli izraisīt ļaunprātīgu lietotņu augšupielādi veikalā tikai ar mērķi vākt datus no Google lietotājiem. Lielākā daļa Google G Suite paketes lietotāju ir uzņēmējdarbības sfēra. Tas ievērojami palielina sociālās inženierijas uzlaušanas un līdzīgu uzbrukumu risku.
Pētnieki ierosina pārvietot procesu vai meklēt un piešķirt atļauju no instalēšanas procedūras uz laiku, kad lietotnēm faktiski ir nepieciešama īpaša atļauja pirmo reizi. Reyes un Lack pretenzijas, pārejot no instalēšanas laika atļaujām uz izpildlaika atļaujām, ievērojami uzlabo iespēju lietotājiem pamanīt aizdomīgas lietotnes un atkāpties vai atteikt atļaujas piešķiršanu.
Tagi google
