Приложенията на Google G Suite за комуникация и евентуално споделяне на данни от G-Drive и Gmail с неразкрити външни услуги?

Новини
Софтуер / Приложенията на Google G Suite за комуникация и евентуално споделяне на данни от G-Drive и Gmail с неразкрити външни услуги? 3 минути четене

Думите се броят в Google Документи



Екосистемата на приложенията на Google се счита за безопасна, надеждна и проверена. Няколко изследователи по сигурността обаче изразиха няколко притеснения относно голям брой приложения от Пазар на G Suite . Изследователите твърдят, че няколко приложения имат достъп до акаунти в Gmail и Drive. Въпреки че това е разбираемо, много от приложенията комуникират и с неразкрити външни услуги. Това може да представлява рискована възможност за нелегални пътища за данни от профили в Google до непроверени и неразкрити местоположения или обекти.

Неотдавнашно проучване, проведено от Ървин Рейес и Майкъл Липса от Two Six Labs, включваше обширен анализ на разрешенията, поискани от приложения на Google на трети страни, изброени в G Suite Marketplace. Дуото твърди, че е открило, че много от приложенията не са успели да се инсталират правилно в тестов акаунт на Google, докато почти половината са поискали разрешение за комуникация с външни услуги, създавайки мост между чувствителните данни на потребителя на Диск и Gmail и външния свят. За немалко приложения връзката за данни беше неясна и причините не бяха споменати открито.



Някои приложения на Google G Suite Marketplace имат съмнителни искания за разрешения и неясна връзка с външни, неразкрити услуги?

Изследователите Reyes и Lack заявиха, че са използвали автоматизиран скрипт, за да инсталират всички 1392 приложения, изброени в G Suite Marketplace в тестов акаунт в Google. Те продължиха да записват разрешенията, които всяко от приложенията поиска. От 1 392 приложения, които тестваха, 405 се провали с множество грешки. От останалите 987 приложения, които могат да бъдат инсталирани, 889 приложения изискват достъп до потребителски данни чрез API на Google. Излишно е да добавям, че това предизвика искане за разрешение, което повечето потребители обикновено дават.



възстановяване на mac на по -ранна дата

Тревожно е да се отбележи, че почти половината или 481 приложения от G Suite Marketplace са поискали разрешение за комуникация с външни услуги. Това по същество позволи създаването на виртуален мост между чувствителните данни на потребителя на Drive и Gmail и услуги, които са извън портфолиото на Google. От тези 481 приложения 21 процента (103 приложения) могат да имат достъп и да си взаимодействат с файлове на Google Drive, 17 процента (81 приложения) могат да имат достъп и да си взаимодействат с пощенските кутии на имейли, а 3 процента (15 приложения) имат достъп и взаимодействат с данни от календара.



оптимизирайте Windows 10 за игри

Важно е да се добави, че няколко добавки имат основателни причини да се свързват със защитени външни услуги. Изследователите обаче твърдят, че са открили неудобно голям брой приложения, които не са имали ясна причина да установят връзка с външни услуги.



Притеснително е да се отбележи, че потребителите нямат никаква представа за това коя външна услуга могат да комуникират приложенията на G Suite. Освен това няма информация за естеството и целта на комуникациите. Потребителите имат само описания на приложения и политики за поверителност, предоставени доброволно от разработчиците на приложения, за да се опитат да разберат причината, целта и естеството на комуникацията на приложение за G Suite Marketplace и външна услуга.

Google не прилага стриктно ограничения, наложени върху „Непотвърдени“ приложения?

Освен комуникацията с външни услуги, изследователите твърдят, че има още един, свързан с проблема с процеса на преглед на G Suite Marketplace или липсата му. Процесът на преглед е задължителен за всички приложения, изпратени на пазара. Процесът става още по-строг и продължителен за приложения, които извършват API повиквания, които Google класифицира като чувствителни или ограничени.

Процесът на преглед за приложения, които извършват повиквания за чувствителен API, може да варира от 3 до 5 дни. Междувременно приложенията, които извършват „Ограничени“ API разговори или взаимодействат с потребителски данни в Gmail или Google Диск, могат да отнемат между 4 и 8 седмици.

За да заобиколи временно толкова продължителния процес на преглед и одобрение, Google позволява на разработчиците на приложения да изброяват приложенията като „непроверени“ на G Suite Marketplace. Google просто плесва предупредителен етикет под формата на съобщение на цяла страница, което предупреждава потребителите за опасността от инсталиране на потенциално опасно приложение, което все още не е преминало през процеса на преглед. Има още едно ограничение, което се опитва да ограничи „непроверени“ приложения на G Suite само до 100 инсталирания.

Драйвери за твърд диск за windows 7

Изследователите обаче твърдят, че са установили, че много непроверени приложения са спечелили повече от 100 потребители, докато са чакали да бъдат прегледани. Това категорично предполага, че Google умишлено облекчава строгия лимит за „100 нови потребители“.

Подобни практики или лошо прилагане на правила могат лесно да доведат до качване на злонамерени приложения в магазина с единствената цел да събират данни от потребителите на Google. По-голямата част от потребителите на пакета G Suite на Google са от корпоративния сектор. Това значително повишава риска от хакове в социалното инженерство и подобни атаки.

как да се отървете от вируса на червения екран

Изследователите предлагат да преместят процеса или да потърсят и предоставят разрешение от процедурата за инсталиране към момента, в който приложенията всъщност се нуждаят от конкретно разрешение за първи път. Искът Reyes and Lack, преминавайки от разрешения за време за инсталиране към разрешения за изпълнение, значително подобрява шансовете на потребителите да забележат подозрителни приложения и да променят или откажат даването на разрешение.

Етикети google