Приложения G Suite от Google обмениваются данными G-Drive и Gmail с неизвестными внешними службами?

Новости
Программного обеспечения / Приложения G Suite от Google обмениваются данными G-Drive и Gmail с неизвестными внешними службами? 3 минуты на чтение

Количество слов в Google Документах



Экосистема приложений Google считается безопасной, надежной и проверенной. Однако несколько исследователей в области безопасности выразили озабоченность по поводу большого количества приложений из Торговая площадка G Suite . Исследователи утверждают, что несколько приложений имеют доступ к учетным записям Gmail и Диска. Хотя это и понятно, многие приложения также взаимодействуют с неизвестными внешними службами. Это может создать опасную возможность для скрытых путей передачи данных из учетных записей Google в непроверенные и нераскрытые местоположения или объекты.

Недавнее исследование, проведенное Ирвином Рейесом и Майклом Лаком из Two Six Labs, включало обширный анализ разрешений, запрашиваемых сторонними приложениями Google, перечисленными на G Suite Marketplace. Дуэт утверждает, что они обнаружили, что многие приложения не удалось правильно установить в тестовой учетной записи Google, в то время как почти половина запрашивала разрешение на связь с внешними службами, создавая мост между конфиденциальными данными Диска пользователя и данными Gmail и внешним миром. Для довольно многих приложений подключение для передачи данных было неясным, а причины не упоминались открыто.



У некоторых приложений Google G Suite Marketplace есть сомнительные запросы на разрешения и непонятное соединение с внешними, нераскрытыми службами?

Исследователи Рейес и Лак заявили, что они использовали автоматизированный скрипт для установки всех 1392 приложений, перечисленных в G Suite Marketplace, в тестовой учетной записи Google. Они приступили к записи разрешений, запрашиваемых каждым из приложений. Из 1392 протестированных приложений 405 завершились неудачно с многочисленными ошибками. Из оставшихся 987 приложений, которые можно было установить, 889 приложениям требовался доступ к пользовательским данным через API Google. Излишне добавлять, что это вызвало запрос на разрешение, который обычно предоставляет большинство пользователей.



Следует отметить, что почти половина или 481 приложение из G Suite Marketplace запрашивали разрешение на связь с внешними службами. По сути, это позволило создать виртуальный мост между конфиденциальными данными Диска пользователя и данными и службами Gmail, которые не входили в портфель Google. Из этих 481 приложения 21 процент (103 приложения) могли получать доступ к файлам Google Диска и взаимодействовать с ними, 17 процентов (81 приложение) могли получать доступ к почтовым ящикам и взаимодействовать с ними, а 3 процента (15 приложений) могли получать доступ к данным календаря и взаимодействовать с ними.



Важно добавить, что у некоторых надстроек есть законные причины для подключения к защищенным внешним службам. Тем не менее, исследователи утверждают, что обнаруженное ими неудобно большое количество приложений, похоже, не имеет явной причины для установления соединения с внешними службами.



Следует отметить, что пользователи не имеют никакого представления о том, с какой внешней службой могут взаимодействовать приложения G Suite. Кроме того, нет информации о характере и целях сообщений. У пользователей есть только описания приложений и политики конфиденциальности, добровольно предоставленные разработчиками приложений, чтобы попытаться понять причину, цель и характер взаимодействия приложения G Suite Marketplace и внешней службы.

Google не соблюдает строго ограничения, налагаемые на «непроверенные» приложения?

Помимо связи с внешними службами, исследователи заявили, что есть еще одна проблема, связанная с процессом проверки G Suite Marketplace или его отсутствием. Процесс проверки является обязательным для всех приложений, представленных на торговой площадке. Этот процесс становится еще более жестким и длительным для приложений, которые выполняют вызовы API, которые Google классифицирует как конфиденциальные или ограниченные.

Процесс проверки приложений, которые выполняют вызовы конфиденциальных API, может длиться от 3 до 5 дней. Между тем, приложения, которые выполняют «ограниченные» вызовы API или взаимодействуют с пользовательскими данными Gmail или Google Диска, могут занять от 4 до 8 недель.

Чтобы временно обойти такой длительный процесс проверки и утверждения, Google позволяет разработчикам приложений указывать приложения как «непроверенные» в G Suite Marketplace. Google просто ставит предупреждающий ярлык в виде сообщения на всю страницу, которое предупреждает пользователей об опасности установки потенциально опасного приложения, которое еще не прошло процесс проверки. Есть еще одно ограничение, которое пытается ограничить «непроверенные» приложения G Suite всего 100 установками.

Однако исследователи утверждают, что они обнаружили, что многие непроверенные приложения получили более 100 пользователей в ожидании проверки. Это убедительно свидетельствует о том, что Google намеренно ослабляет жесткий лимит «100 новых пользователей».

Такая практика или плохая реализация политик могут легко привести к загрузке вредоносных приложений в магазин с единственной целью сбора данных от пользователей Google. Большинство пользователей пакета G Suite от Google - представители корпоративного сектора. Это значительно повышает риск взломов социальной инженерии и подобных атак.

Исследователи предлагают перенести процесс или запрос и предоставить разрешение от процедуры установки до того момента, когда приложениям действительно потребуется конкретное разрешение в первый раз. Согласно утверждениям Рейеса и Лака, переход от разрешений во время установки к разрешениям во время выполнения значительно повышает шансы пользователей, заметивших подозрительные приложения, и откатившихся назад или отказавших в предоставлении разрешения.

Теги гугл