Google Docsis loendatakse sõnu
Google'i rakenduste ökosüsteemi peetakse turvaliseks, usaldusväärseks ja kontrollitud. Paar turvateadlast on siiski tõstatanud mõned probleemid suure hulga rakenduste pärast G Suite Marketplace . Teadlased väidavad, et mitmel rakendusel on juurdepääs Gmaili ja Drive'i kontodele. Kuigi see on arusaadav, suhtlevad paljud rakendused ka avalikustamata välisteenustega. See võib pakkuda riskantset võimalust salajastele andmeradadele Google'i kontodelt kontrollimata ja avalikustamata asukohtadesse või üksustesse.
Irwin Reyesi ja Michael Lack of Two Six Labsi hiljutised uuringud hõlmasid G Suite Marketplace'is loetletud kolmandate osapoolte Google'i rakenduste taotletud lubade põhjalikku analüüsi. Duo väidab, et nad avastasid, et paljusid rakendusi ei õnnestunud testitaval Google'i kontol õigesti installida, samas kui peaaegu pooled taotlesid luba välisteenustega suhtlemiseks, luues silla kasutaja delikaatsete Drive'i ja Gmaili andmete ning välismaailma vahel. Paljude rakenduste puhul oli andmeühendus ebaselge ja põhjuseid ei mainitud avalikult.
Mõnel Google G Suite Marketplace'i rakendusel on küsitavaid lubade taotlusi ja ebaselge ühendus väliste, avalikustamata teenustega?
Teadlased Reyes ja Lack ütlesid, et kasutasid automatiseeritud skripti, et installida kõik G Suite Marketplace'is loetletud 1392 rakendust testitavale Google'i kontole. Nad jätkasid kõigi rakenduste taotletud lubade registreerimist. Testitud 1392 rakendusest ebaõnnestus 405 arvukate vigadega. Ülejäänud 987 rakendusest, mida oli võimalik installida, vajas 889 rakendust juurdepääsu Google'i API-de kaudu kasutajaandmetele. Pole vaja lisada, et see käivitas loataotluse, mille enamik kasutajaid tavaliselt annab.
Pange tähele, et peaaegu pooled ehk 481 G Suite Marketplace'i rakendust taotlesid luba välisteenustega suhtlemiseks. See võimaldas sisuliselt luua virtuaalse silla kasutaja tundliku Drive'i ja Gmaili andmete ja teenuste vahel, mis olid väljaspool Google'i portfelli. Nendest 481 rakendusest võiks 21 protsenti (103 rakendust) pääseda juurde Google Drive'i failidele ja nendega suhelda, 17 protsenti (81 rakendust) pääseda juurde e-postkastidele ja suhelda nendega ning 3 protsenti (15 rakendust) pääseda juurde kalendriandmetele ja nendega suhelda.
G Suite Marketplace'i eeltingimuseks a #privaatsus skandaal, hoiatavad teadlased G Suite'i rakendusi, millel on juurdepääs Drive'i ja Gmaili andmetele, mis leiti suhtlemast avalikustamata välisteenustega. https://t.co/gIWnI3VVNx kaudu @AlisterBrenton #turvalisus #infosec pic.twitter.com/bkeGZYBfVv
- Alister Brenton (@AlisterBrenton) 2. juuni 2020
Oluline on lisada, et mitmel lisandmoodulil on õigustatud põhjused turvaliste välisteenustega ühenduse loomiseks. Teadlased väidavad siiski, et neil avastati ebamugavalt suur hulk rakendusi, millel ei olnud selget põhjust ühenduse loomiseks välisteenustega.
Pange tähele, et kasutajad ei saa aru, millist välist teenust G Suite'i rakendused võivad suhelda. Lisaks puudub teave suhtluse laadi ja eesmärgi kohta. Kasutajatel on rakenduste kirjeldused ja privaatsuseeskirjad, mille rakenduse arendajad on vabatahtlikult välja andnud, et proovida mõista G Suite Marketplace'i rakenduse ja välise teenuse suhtlemise põhjust, eesmärki ja olemust.
Google ei rakenda rangelt rakendustes „Kinnitamata” kehtestatud piiranguid rangelt?
Lisaks suhtlemisele välisteenistustega väitsid teadlased, et G Suite Marketplace'i ülevaatusprotsessis või selle puudumises on veel üks probleem. Ülevaatusprotsess on kohustuslik kõigi turule saadetud rakenduste jaoks. Protsess muutub veelgi rangemaks ja pikemaks rakenduste jaoks, mis teevad API-kõnesid, mille Google klassifitseerib kas tundlikeks või piiratud.
Sensitive API kõnesid sooritavate rakenduste ülevaatamise protsess võib ulatuda 3 kuni 5 päevani. Vahepeal võivad rakendused, mis teevad piiratud piirangutega API-kõnesid või suhtlevad kasutaja Gmaili või Google Drive'i andmetega, kesta 4–8 nädalat.
Sellisest pikast ülevaatamis- ja kinnitamisprotsessist ajutiselt mööda hiilimiseks lubab Google rakenduste arendajatel G Suite Marketplace'is loetleda rakendused kinnitamata. Google lihtsalt lööb hoiatussildi täislehelisena, mis hoiatab kasutajaid potentsiaalselt ohtliku rakenduse installimise ohu eest, mis pole selle ülevaatusprotsessi veel läbinud. On veel üks piirang, mis üritab piirata „kinnitamata” G Suite'i rakendusi vaid 100 installimisega.
-Uurijad analüüsisid 1392 G Suite'i kolmanda osapoole rakendust
-Nad leidsid 481 rakendust, mis ühendasid väliseid teenuseid
- 103-l neist oli täielik juurdepääs Google Drive'ile
- 81-l oli täielik juurdepääs Gmailile
- 15-l oli täielik juurdepääs Google'i kalendrile pic.twitter.com/NJzbUShzPy- Catalin Cimpanu (@campuscodi) 2. juuni 2020
Kuid teadlased väidavad, et leidsid, et paljud kontrollimata rakendused on üle vaadates oodanud rohkem kui 100 kasutajat. See viitab tungivalt sellele, et Google leevendab tahtlikult 100 uue kasutaja piirangut.
Sellised tavad või eeskirjade puudulik rakendamine võivad hõlpsasti põhjustada poele pahatahtlike rakenduste üleslaadimise ainsa eesmärgiga koguda andmeid Google'i kasutajatelt. Suurem osa Google'i G Suite'i paketi kasutajatest on pärit ettevõtlussektorist. See suurendab märkimisväärselt sotsiaalsete inseneride häkkimise ja sarnaste rünnakute riski.
Teadlased soovitavad protsessi teisaldada või installiprotseduurilt luba otsida ja anda, kuni rakendused vajavad esimest korda erilist luba. Reyes ja Lack väidavad, et üleminek installiaegsetelt lubadelt käitamisõigustele parandab märkimisväärselt kasutajate võimalusi kahtlaseid rakendusi märgata ja tagasi minna või loa andmisest keelduda.
Sildid google
