Riječi se broje u Google dokumentima
Googleov ekosustav aplikacija smatra se sigurnim, pouzdanim i provjerenim. Međutim, nekoliko sigurnosnih istraživača izrazilo je nekoliko zabrinutosti zbog velikog broja aplikacija tvrtke Tržište G Suite . Istraživači tvrde da nekoliko aplikacija ima pristup računima Gmail i Drive. Iako je to razumljivo, mnoge aplikacije također komuniciraju s neotkrivenim vanjskim uslugama. To bi moglo predstavljati rizičnu priliku za tajne putove podataka s Google računa do neprovjerenih i neotkrivenih lokacija ili entiteta.
Nedavno istraživanje koje su proveli Irwin Reyes i Michael Lack iz Two Six Labs uključivalo je opsežnu analizu dozvola koje su zatražile nezavisne Googleove aplikacije navedene na G Suite Marketplaceu. Dvojac tvrdi da je otkrio da se mnoge aplikacije nisu uspjele pravilno instalirati na testnom Google računu, dok je gotovo polovica zatražila dopuštenje za komunikaciju s vanjskim uslugama, stvarajući most između korisnikovih osjetljivih podataka Diska i Gmaila i vanjskog svijeta. Za dosta aplikacija podatkovna veza bila je nejasna, a razlozi nisu otvoreno spomenuti.
Neke aplikacije Google G Suite Marketplace imaju upitne zahtjeve za dozvole i nejasnu vezu s vanjskim, neotkrivenim uslugama?
Istraživači Reyes i Lack rekli su da su koristili automatiziranu skriptu za instaliranje svih 1.392 aplikacija navedenih na G Suite Marketplaceu na testnom Google računu. Nastavili su bilježiti dozvole koje je tražila svaka aplikacija. Od 1.392 aplikacije koje su testirali, 405 nije uspjelo s brojnim pogreškama. Od preostalih 987 aplikacija koje se mogu instalirati, 889 aplikacija zahtijevalo je pristup korisničkim podacima putem Google API-ja. Nepotrebno je dodavati, ovo je pokrenulo zahtjev za dopuštenjem koji većina korisnika obično odobri.
Zabrinjavajuće je primijetiti da je gotovo polovica ili 481 aplikacija s G Suite Marketplace zatražila dopuštenje za komunikaciju s vanjskim uslugama. To je u osnovi omogućilo stvaranje virtualnog mosta između korisnikovih osjetljivih podataka s Diska i Gmaila koji su bili izvan Googleovog portfelja. Od ovih 481 aplikacija, 21 posto (103 aplikacije) moglo je pristupiti datotekama Google diska i komunicirati s njima, 17 posto (81 aplikacija) moglo je pristupiti i komunicirati s pretincima pristigle pošte, a 3 posto (15 aplikacija) moglo je pristupiti podacima kalendara i komunicirati s njima.
G Suite Marketplace pripremljen za a #privatnost skandala, istraživači upozoravaju G Suite aplikacije koje imaju pristup podacima Diska i Gmaila pronađene u komunikaciji s neotkrivenim vanjskim uslugama. https://t.co/gIWnI3VVNx preko @AlisterBrenton #sigurnost #infosec pic.twitter.com/bkeGZYBfVv
- Alister Brenton (@AlisterBrenton) 2. lipnja 2020
Važno je dodati da nekoliko dodataka ima opravdane razloge za povezivanje na sigurne vanjske usluge. Međutim, istraživači tvrde da se otkrilo da neugodno velik broj aplikacija nije imao jasan razlog za uspostavljanje veze s vanjskim uslugama.
Zabrinjavajuće je primijetiti da korisnici nemaju uvid u to koju vanjsku uslugu aplikacije G Suite možda komuniciraju. Uz to, nema podataka o prirodi i svrsi komunikacije. Korisnici imaju samo opise aplikacija i pravila o privatnosti koje dobrovoljno pružaju programeri aplikacija kako bi pokušali razumjeti razlog, svrhu i prirodu komunikacije aplikacije G Suite Marketplace i vanjske usluge.
Google strogo ne provodi ograničenja nametnuta za ‘neprovjerene’ aplikacije?
Osim komunikacije s vanjskim službama, istraživači su tvrdili da postoji još jedan koji se odnosi na problem s postupkom pregleda G Suite Marketplace ili na njegov nedostatak. Postupak pregleda obvezan je za sve aplikacije poslane na tržište. Postupak postaje još stroži i dugotrajniji za aplikacije koje upućuju API pozive koje Google klasificira kao osjetljive ili ograničene.
Postupak pregleda aplikacija koje upućuju osjetljive API pozive može trajati od 3 do 5 dana. U međuvremenu, aplikacije koje upućuju 'Ograničene' API pozive ili komuniciraju s korisnikovim podacima usluge Gmail ili Google Drive mogu potrajati između 4 i 8 tjedana.
Da bi privremeno zaobišao tako dugotrajan postupak pregleda i odobravanja, Google dopušta programerima aplikacija da na G Suite Marketplace dodaju aplikacije kao 'neprovjerene'. Google samo pljusne naljepnicu upozorenja u obliku poruke na cijeloj stranici koja upozorava korisnike na opasnost od instaliranja potencijalno opasne aplikacije koja još nije prošla kroz postupak pregleda. Postoji još jedno ograničenje koje pokušava ograničiti 'neprovjerene' G Suite aplikacije na samo 100 instalacija.
-Istraživači su analizirali 1.392 nezavisnih aplikacija G Suitea
-Našli su 481 aplikaciju koja se povezuje s vanjskim uslugama
- 103 od njih imalo je puni pristup Google disku
- 81 je imao puni pristup Gmailu
- 15 ih je imalo puni pristup Google kalendaru pic.twitter.com/NJzbUShzPy- Catalin Cimpanu (@campuscodi) 2. lipnja 2020
Međutim, istraživači tvrde da su otkrili da su mnoge neprovjerene aplikacije stekle više od 100 korisnika dok su čekale da ih se pregleda. To snažno sugerira da Google namjerno umanjuje ograničenje od '100 novih korisnika'.
Takva praksa ili loša primjena pravila lako mogu dovesti do prenosa zlonamjernih aplikacija u trgovinu s jedinom svrhom prikupljanja podataka od Googleovih korisnika. Većina Googleovih korisnika G Suite paketa su iz poslovnog sektora. To značajno povećava rizik od hakovanja socijalnog inženjeringa i sličnih napada.
Istraživači predlažu premještanje postupka ili traženje i davanje dopuštenja iz postupka instalacije u vrijeme kada aplikacije prvi put trebaju određeno dopuštenje. Tvrdnja Reyes and Lack, prelazeći s dozvola za vrijeme instalacije na dozvole za vrijeme izvođenja, značajno poboljšava šanse da korisnici primijete sumnjive aplikacije i povuku se ili odbiju odobrenje.
Oznake google
