Les paraules compten a Google Docs
L’ecosistema d’aplicacions de Google es considera segur, fiable i verificat. No obstant això, un parell d'investigadors en seguretat han plantejat algunes preocupacions sobre un gran nombre d'aplicacions de la G Suite Marketplace . Els investigadors afirmen que diverses aplicacions tenen accés als comptes de Gmail i Drive. Tot i que això és comprensible, moltes de les aplicacions també es comuniquen amb serveis externs no divulgats. Això podria presentar una oportunitat arriscada per a vies de dades clandestines des de comptes de Google fins a entitats o ubicacions no verificades i no revelades.
Les recents investigacions realitzades per Irwin Reyes i Michael Lack de Two Six Labs van incloure una anàlisi exhaustiva dels permisos sol·licitats per aplicacions de Google de tercers que apareixen al mercat de G Suite. El duo afirma que va descobrir que moltes de les aplicacions no es van poder instal·lar correctament en un compte de Google de prova, mentre que gairebé la meitat va demanar permís per comunicar-se amb serveis externs, creant un pont entre les dades sensibles de Drive i Gmail de l'usuari i el món exterior. Durant força aplicacions, la connexió de dades no era clara i no es van esmentar obertament els motius.
Algunes aplicacions de Google G Suite Marketplace tenen sol·licituds de permisos qüestionables i connexió poc clara amb serveis externs no revelats?
Els investigadors Reyes i Lack van dir que utilitzaven un script automatitzat per instal·lar totes les 1.392 aplicacions que apareixen a G Suite Marketplace en un compte de Google de prova. Van procedir a registrar els permisos que sol·licitaven cadascuna de les aplicacions. De les 1.392 aplicacions que van provar, 405 van fallar amb nombrosos errors. De les 987 aplicacions restants que es podrien instal·lar, 889 aplicacions requereixen accés a les dades dels usuaris mitjançant les API de Google. No cal afegir que això ha provocat una sol·licitud de permís que la majoria d’usuaris solen concedir.
És preocupant notar que gairebé la meitat o 481 aplicacions de G Suite Marketplace van sol·licitar permís per comunicar-se amb serveis externs. Això va permetre essencialment la creació d'un pont virtual entre les dades i serveis de Drive sensibles de l'usuari i Gmail que estaven fora de la cartera de Google. D’aquestes 481 aplicacions, el 21% (103 aplicacions) podien accedir als fitxers de Google Drive i interactuar amb elles, el 17% (81 aplicacions) podien accedir a les bústies d’entrada de correu electrònic i interactuar amb elles, i el 3% (15 aplicacions) podrien accedir a les dades del calendari i interactuar-hi.
G Suite Marketplace està preparat per a #privació escàndol, els investigadors adverteixen les aplicacions de G Suite que tenen accés a les dades de Drive i Gmail trobades que es comuniquen amb serveis externs no divulgats. https://t.co/gIWnI3VVNx via @AlisterBrenton #seguretat #infosec pic.twitter.com/bkeGZYBfVv
- Alister Brenton (@AlisterBrenton) 2 de juny de 2020
És important afegir que diversos complements tenen motius legítims per connectar-se a serveis externs segurs. No obstant això, els investigadors afirmen que van descobrir que un nombre incòmode d’aplicacions no semblava tenir una raó clara per establir una connexió amb serveis externs.
És preocupant tenir en compte que els usuaris no tenen cap informació sobre quin servei extern poden comunicar les aplicacions de G Suite. A més, no hi ha informació sobre la naturalesa i el propòsit de les comunicacions. Els usuaris només tenen descripcions d’aplicacions i polítiques de privadesa proporcionades voluntàriament pels desenvolupadors d’aplicacions per intentar comprendre el motiu, el propòsit i la naturalesa de la comunicació d’una aplicació de G Suite Marketplace i d’un servei extern.
Google no implementa estrictament les restriccions imposades a les aplicacions 'no verificades'?
A banda de la comunicació amb serveis externs, els investigadors van afirmar que hi ha un problema més relacionat amb el procés de revisió de G Suite Marketplace o la seva manca. El procés de revisió és obligatori per a totes les aplicacions enviades al mercat. El procés es fa encara més estricte i llarg per a les aplicacions que fan trucades a l'API que Google classifica com a sensibles o restringides.
El procés de revisió de les aplicacions que fan trucades a l’API sensible pot variar entre 3 i 5 dies. Mentrestant, les aplicacions que fan trucades a l'API 'Restringit' o que interactuen amb les dades de Gmail o Google Drive d'un usuari poden trigar entre 4 i 8 setmanes.
Per evitar temporalment un procés tan llarg de revisió i aprovació, Google permet als desenvolupadors d'aplicacions llistar aplicacions com a 'no verificades' a G Suite Marketplace. Google només dóna una etiqueta d’advertència en forma de missatge de pàgina completa que adverteix els usuaris del perill d’instal·lar una aplicació potencialment perillosa que encara no hagi passat pel seu procés de revisió. Hi ha una restricció més que intenta limitar les aplicacions de G Suite 'no verificades' a només 100 instal·lacions.
-Els investigadors van analitzar 1.392 aplicacions de tercers de G Suite
-Van trobar 481 aplicacions connectades a serveis externs
- 103 d'ells tenien accés complet a Google Drive
- El 81 tenia accés complet a Gmail
- 15 tenien accés complet a Google Calendar pic.twitter.com/NJzbUShzPy- Catalin Cimpanu (@campuscodi) 2 de juny de 2020
No obstant això, els investigadors afirmen que van trobar que moltes aplicacions no verificades havien guanyat més de 100 usuaris mentre esperaven ser revisades. Això suggereix fermament que Google està relaxant intencionadament el límit dur de '100 nous usuaris'.
Aquestes pràctiques o la mala implementació de les polítiques podrien donar lloc fàcilment a la pujada d'aplicacions malicioses a la botiga amb l'únic propòsit de recopilar dades dels usuaris de Google. La majoria dels usuaris del paquet G Suite de Google provenen del sector empresarial. Això augmenta significativament el risc de pirates informàtics d’enginyeria social i atacs similars.
Els investigadors suggereixen traslladar el procés o buscar i concedir permís des del procediment d’instal·lació fins al moment en què les aplicacions necessiten un permís concret per primera vegada. Reyes i Lack afirmen que, passant dels permisos en temps d’instal·lació a permisos en temps d’execució, millora significativament les possibilitats que els usuaris notin aplicacions sospitoses i retrocedeixin o deneguen la concessió de permisos.
Etiquetes Google
