Ang Mga G Suite Apps ng Google ay Nakikipag-usap At Posibleng Pagbabahagi ng Data ng G-Drive at Gmail Sa Hindi Naihayag na Mga Panlabas na Serbisyo?

Bilang ng Salita sa Google Docs

Ang ecosystem ng app ng Google ay itinuturing na ligtas, mapagkakatiwalaan, at na-verify. Gayunpaman, ang isang pares ng mga mananaliksik sa seguridad ay nagbigay ng ilang mga alalahanin tungkol sa isang malaking bilang ng mga app mula sa G Suite Marketplace . Sinasabi ng mga mananaliksik na maraming mga app ang may access sa mga Gmail at Drive account. Habang ito ay naiintindihan, marami sa mga app din ang nakikipag-usap sa hindi naiwalang panlabas na mga serbisyo. Maaari itong magpakita ng isang mapanganib na pagkakataon para sa mga lihim na pathway ng data mula sa mga Google account patungo sa hindi nakumpirma at hindi naitala na mga lokasyon o entity.

Kamakailang pagsasaliksik na isinagawa nina Irwin Reyes at Michael Lack ng Dalawang Anim na Lab ay nagsasangkot ng malawak na pagsusuri ng mga pahintulot na hiniling ng mga third-party na Google apps na nakalista sa G Suite Marketplace. Inaangkin ng duo na natuklasan nila ang marami sa mga app na nabigong mai-install nang tama sa isang pagsubok na Google account, habang halos kalahati ay humiling ng pahintulot na makipag-usap sa mga panlabas na serbisyo, lumilikha ng tulay sa pagitan ng sensitibong data ng Drive at Gmail ng isang gumagamit, at sa labas ng mundo. Para sa ilang mga app, hindi malinaw ang koneksyon ng data, at ang mga dahilan ay hindi binanggit nang hayagan.

Ang Ilang Google G Suite Marketplace Apps Ay May Mga Kahina-hiling na Mga Kahilingan sa Mga Pahintulot At Hindi Malinaw na Koneksyon sa Panlabas, Hindi Naihayag na Mga Serbisyo?

Sinabi ng mga mananaliksik na sina Reyes at Lack na gumamit sila ng isang automated script upang mai-install ang lahat ng 1,392 apps na nakalista sa G Suite Marketplace sa isang pagsubok na Google account. Nagpatuloy sila upang maitala ang mga pahintulot na hiniling ng bawat isa sa mga app. Mula sa 1,392 apps na sinubukan nila, 405 ang nabigo na may maraming mga error. Mula sa natitirang 987 apps na maaaring mai-install, 889 apps ang nangangailangan ng pag-access sa data ng gumagamit sa pamamagitan ng Google API. Hindi na kailangang idagdag, nag-trigger ito ng isang kahilingan sa pahintulot na karaniwang ibinibigay ng karamihan ng mga gumagamit.

Napapansin na halos kalahati o 481 na mga app mula sa G Suite Marketplace ang humiling ng pahintulot na makipag-usap sa mga panlabas na serbisyo. Mahalagang pinapayagan nito ang paglikha ng isang virtual na tulay sa pagitan ng sensitibong data ng Drive at Gmail ng isang gumagamit at mga serbisyo na nasa labas ng portfolio ng Google. Sa 481 na app na ito, 21 porsyento (103 apps) ang maaaring ma-access at makipag-ugnay sa mga file ng Google Drive, 17 porsyento (81 apps) ang maaaring ma-access at makipag-ugnay sa mga inbox ng email, at 3 porsyento (15 apps) ang maaaring mag-access at makipag-ugnay sa data ng kalendaryo.

Ang G Suite Marketplace ay primed para sa a #privacy iskandalo, binalaan ng mga mananaliksik ang mga app ng G Suite na may access sa data ng Drive at Gmail na natagpuan na nakikipag-usap sa mga hindi nailahad na panlabas na serbisyo. https://t.co/gIWnI3VVNx sa pamamagitan ng @AlisterBrenton #security #infosec pic.twitter.com/bkeGZYBfVv

naka-autoplay na naka-embed na video sa youtube

- Alister Brenton (@AlisterBrenton) Hunyo 2, 2020

Mahalagang idagdag na maraming mga add-on ang may mga lehitimong dahilan upang kumonekta upang ma-secure ang mga panlabas na serbisyo. Gayunpaman, inangkin ng mga mananaliksik na natuklasan nila ang isang hindi komportable na malaking bilang ng mga app ay tila walang malinaw na dahilan upang magtatag ng isang koneksyon sa mga panlabas na serbisyo.

Tungkol dito na tandaan na ang mga gumagamit ay walang anumang pananaw sa kung aling panlabas na serbisyo ang maaaring makipag-ugnay sa mga G Suite app. Bilang karagdagan, walang impormasyon tungkol sa kalikasan at layunin ng mga komunikasyon. Ang mga gumagamit ay mayroon lamang paglalarawan ng app at mga patakaran sa privacy na kusang-loob na ibinigay ng mga developer ng app upang subukan at maunawaan ang dahilan, layunin, at likas na katangian ng komunikasyon ng isang G Suite Marketplace app at isang panlabas na serbisyo.

Hindi Mahigpit na Ipinatutupad ng Google ang Mga Paghihigpit na Ipinataw Sa Mga 'Hindi Na-verify' na Mga App?

Bukod sa pakikipag-usap sa mga panlabas na serbisyo, inangkin ng mga mananaliksik na may isa pa tungkol sa isyu sa proseso ng pagsusuri ng G Suite Marketplace o ang kawalan nito. Ang proseso ng pagsusuri ay sapilitan para sa lahat ng mga app na isinumite sa merkado. Ang proseso ay magiging mas mahigpit at haba para sa mga app na tumatawag sa mga tawag sa API na inuri ng Google bilang Sensitibo o Pinaghihigpitan.

Ang proseso ng pagsusuri para sa mga app na gumagawa ng mga tawag sa Sensitive API ay maaaring saklaw mula 3 hanggang 5 araw. Samantala, ang mga app na tumawag sa 'Pinaghigpitan' na mga tawag sa API o nakikipag-ugnay sa isang data ng Gmail o Google Drive ng isang gumagamit ay maaaring tumagal kahit saan sa pagitan ng 4 hanggang 8 na linggo.

Upang pansamantalang laktawan ang napakahabang proseso ng pagsusuri at pag-apruba, pinapayagan ng Google ang mga developer ng app na maglista ng mga app bilang 'hindi napatunayan' sa G Suite Marketplace. Sinampal lamang ng Google ang isang label ng babala sa anyo ng isang buong pahinang mensahe na nagbabala sa mga gumagamit ng panganib na mag-install ng isang potensyal na mapanganib na app na hindi pa dumadaan sa proseso ng pagsusuri nito. Mayroong isa pang paghihigpit na sumusubok na limitahan ang 'hindi na-verify' na mga G Suite app sa 100 na mga pag-install lamang.

-Nag-aralan ng mga mananaliksik ang 1,392 G Suite ng mga third-party na app
-Natagpuan nila ang 481 apps na kumokonekta sa mga panlabas na serbisyo
- Ang 103 sa mga ito ay may ganap na pag-access sa Google Drive
- 81 ay nagkaroon ng buong pag-access sa Gmail
- 15 ay may ganap na pag-access sa Google Calendar pic.twitter.com/NJzbUShzPy

- Catalin Cimpanu (@campuscodi) Hunyo 2, 2020

mensahe + hindi gumagana

Gayunpaman, inangkin ng mga mananaliksik na natagpuan nila na maraming mga hindi na-verify na app ang nakakuha ng higit sa 100 mga gumagamit habang naghihintay sila na masuri. Masidhi nitong iminumungkahi na sinasadya ng pagluluwag ng Google ang matitinding limitasyong '100 mga bagong gumagamit'.

Ang mga nasabing kasanayan o hindi magandang pagpapatupad ng mga patakaran ay maaaring madaling magresulta sa mga nakakahamak na app na nai-upload sa tindahan na may tanging layunin ng pagkolekta ng data mula sa mga gumagamit ng Google. Ang karamihan ng mga gumagamit ng package ng G Suite ng Google ay mula sa sektor ng enterprise. Ito ay makabuluhang nagtataas ng peligro ng mga hack sa social engineering at mga katulad na pag-atake.

Iminumungkahi ng mga mananaliksik na ilipat ang proseso o maghanap at pagbibigay ng pahintulot mula sa pamamaraan ng pag-install hanggang sa oras na talagang nangangailangan ng partikular na pahintulot ang mga app sa unang pagkakataon. Ang pag-angkin nina Reyes at Lack, paglipat mula sa mga pahintulot sa pag-install sa mga pahintulot sa run-time, ay makabuluhang nagpapabuti ng mga pagkakataon na mapansin ng mga gumagamit ang mga kahina-hinalang app at mag-backtrack o tanggihan ang pagbibigay ng pahintulot.