Количество слов в Google Документах
Экосистема приложений Google считается безопасной, надежной и проверенной. Однако несколько исследователей в области безопасности выразили озабоченность по поводу большого количества приложений из Торговая площадка G Suite . Исследователи утверждают, что несколько приложений имеют доступ к учетным записям Gmail и Диска. Хотя это и понятно, многие приложения также взаимодействуют с неизвестными внешними службами. Это может создать опасную возможность для скрытых путей передачи данных из учетных записей Google в непроверенные и нераскрытые местоположения или объекты.
Недавнее исследование, проведенное Ирвином Рейесом и Майклом Лаком из Two Six Labs, включало обширный анализ разрешений, запрашиваемых сторонними приложениями Google, перечисленными на G Suite Marketplace. Дуэт утверждает, что они обнаружили, что многие приложения не удалось правильно установить в тестовой учетной записи Google, в то время как почти половина запрашивала разрешение на связь с внешними службами, создавая мост между конфиденциальными данными Диска пользователя и данными Gmail и внешним миром. Для довольно многих приложений подключение для передачи данных было неясным, а причины не упоминались открыто.
У некоторых приложений Google G Suite Marketplace есть сомнительные запросы на разрешения и непонятное соединение с внешними, нераскрытыми службами?
Исследователи Рейес и Лак заявили, что они использовали автоматизированный скрипт для установки всех 1392 приложений, перечисленных в G Suite Marketplace, в тестовой учетной записи Google. Они приступили к записи разрешений, запрашиваемых каждым из приложений. Из 1392 протестированных приложений 405 завершились неудачно с многочисленными ошибками. Из оставшихся 987 приложений, которые можно было установить, 889 приложениям требовался доступ к пользовательским данным через API Google. Излишне добавлять, что это вызвало запрос на разрешение, который обычно предоставляет большинство пользователей.
Следует отметить, что почти половина или 481 приложение из G Suite Marketplace запрашивали разрешение на связь с внешними службами. По сути, это позволило создать виртуальный мост между конфиденциальными данными Диска пользователя и данными и службами Gmail, которые не входили в портфель Google. Из этих 481 приложения 21 процент (103 приложения) могли получать доступ к файлам Google Диска и взаимодействовать с ними, 17 процентов (81 приложение) могли получать доступ к почтовым ящикам и взаимодействовать с ними, а 3 процента (15 приложений) могли получать доступ к данным календаря и взаимодействовать с ними.
Торговая площадка G Suite готова к #Конфиденциальность После скандала исследователи предупреждают, что приложения G Suite, имеющие доступ к данным Диска и Gmail, обмениваются данными с неизвестными внешними службами. https://t.co/gIWnI3VVNx через @AlisterBrenton #безопасность #infosec pic.twitter.com/bkeGZYBfVv
- Алистер Брентон (@AlisterBrenton) 2 июня 2020 г.
Важно добавить, что у некоторых надстроек есть законные причины для подключения к защищенным внешним службам. Тем не менее, исследователи утверждают, что обнаруженное ими неудобно большое количество приложений, похоже, не имеет явной причины для установления соединения с внешними службами.
Следует отметить, что пользователи не имеют никакого представления о том, с какой внешней службой могут взаимодействовать приложения G Suite. Кроме того, нет информации о характере и целях сообщений. У пользователей есть только описания приложений и политики конфиденциальности, добровольно предоставленные разработчиками приложений, чтобы попытаться понять причину, цель и характер взаимодействия приложения G Suite Marketplace и внешней службы.
Google не соблюдает строго ограничения, налагаемые на «непроверенные» приложения?
Помимо связи с внешними службами, исследователи заявили, что есть еще одна проблема, связанная с процессом проверки G Suite Marketplace или его отсутствием. Процесс проверки является обязательным для всех приложений, представленных на торговой площадке. Этот процесс становится еще более жестким и длительным для приложений, которые выполняют вызовы API, которые Google классифицирует как конфиденциальные или ограниченные.
Процесс проверки приложений, которые выполняют вызовы конфиденциальных API, может длиться от 3 до 5 дней. Между тем, приложения, которые выполняют «ограниченные» вызовы API или взаимодействуют с пользовательскими данными Gmail или Google Диска, могут занять от 4 до 8 недель.
Чтобы временно обойти такой длительный процесс проверки и утверждения, Google позволяет разработчикам приложений указывать приложения как «непроверенные» в G Suite Marketplace. Google просто ставит предупреждающий ярлык в виде сообщения на всю страницу, которое предупреждает пользователей об опасности установки потенциально опасного приложения, которое еще не прошло процесс проверки. Есть еще одно ограничение, которое пытается ограничить «непроверенные» приложения G Suite всего 100 установками.
- Исследователи проанализировали 1392 сторонних приложения G Suite.
-Обнаружено 481 приложение, подключающееся к внешним сервисам.
- 103 из них имели полный доступ к Google Диску
- 81 человек имел полный доступ к Gmail
- 15 человек имели полный доступ к Google Календарю pic.twitter.com/NJzbUShzPy- Каталин Чимпану (@campuscodi) 2 июня 2020 г.
Однако исследователи утверждают, что они обнаружили, что многие непроверенные приложения получили более 100 пользователей в ожидании проверки. Это убедительно свидетельствует о том, что Google намеренно ослабляет жесткий лимит «100 новых пользователей».
Такая практика или плохая реализация политик могут легко привести к загрузке вредоносных приложений в магазин с единственной целью сбора данных от пользователей Google. Большинство пользователей пакета G Suite от Google - представители корпоративного сектора. Это значительно повышает риск взломов социальной инженерии и подобных атак.
Исследователи предлагают перенести процесс или запрос и предоставить разрешение от процедуры установки до того момента, когда приложениям действительно потребуется конкретное разрешение в первый раз. Согласно утверждениям Рейеса и Лака, переход от разрешений во время установки к разрешениям во время выполнения значительно повышает шансы пользователей, заметивших подозрительные приложения, и откатившихся назад или отказавших в предоставлении разрешения.
Теги гугл