Речи се рачунају у Гоогле документима
Гоогле-ов екосистем апликација сматра се сигурним, поузданим и верификованим. Међутим, неколико истраживача безбедности изразило је неколико забринутости због великог броја апликација са Г Суите тржиште . Истраживачи тврде да неколико апликација има приступ Гмаил и Дриве налозима. Иако је то разумљиво, многе апликације такође комуницирају са неоткривеним спољним услугама. Ово би могло представљати ризичну прилику за тајне путеве података са Гоогле налога до непроверених и неоткривених локација или ентитета.
Недавно истраживање које су спровели Ирвин Реиес и Мицхаел Лацк из Тво Сик Лабс укључивало је опсежну анализу дозвола које су захтевале независне Гоогле апликације наведене на Г Суите Маркетплаце. Двојац тврди да су открили да многе апликације нису успеле правилно да се инсталирају на тест Гоогле налог, док је готово половина тражила дозволу за комуникацију са спољним услугама, стварајући мост између корисникових осетљивих података Диска и Гмаил-а и спољног света. За доста апликација веза за пренос података није била јасна и разлози нису отворено наведени.
Неке апликације Гоогле Г Суите Маркетплаце имају сумњиве захтеве за дозволе и нејасну везу са спољним, неоткривеним услугама?
Истраживачи Реиес и Лацк рекли су да су користили аутоматизовану скрипту за инсталирање свих 1.392 апликација наведених на Г Суите Маркетплаце на тест Гоогле налогу. Наставили су да бележе дозволе које је тражила свака од апликација. Од 1.392 апликације које су тестирали, 405 није успело са бројним грешкама. Од преосталих 987 апликација које су могле да се инсталирају, 889 апликација је захтевало приступ корисничким подацима путем Гоогле АПИ-ја. Непотребно је додавати, ово је покренуло захтев за дозволу који већина корисника обично одобри.
Забрињавајуће је приметити да је скоро половина или 481 апликација са Г Суите Маркетплаце затражила дозволу за комуникацију са спољним услугама. Ово је у суштини дозволило стварање виртуелног моста између корисничког осетљивог Диска и података и услуга Гмаил-а који су били ван Гоогле-овог портфеља. Од ових 481 апликација, 21 проценат (103 апликације) могло је да приступи датотекама Гоогле диска и ступи у интеракцију са њима, 17 процената (81 апликација) могло је да приступи поштанским сандучићима и да реагује са њима, а 3 процента (15 апликација) могло је да приступи подацима календара и да ступи у интеракцију са њима.
Г Суите Маркетплаце припремљен за а #приваци скандала, истраживачи упозоравају Г Суите апликације које имају приступ Диску и Гмаил подацима за које је утврђено да комуницирају са неоткривеним спољним услугама. хттпс://т.цо/гИВнИ3ВВНк путем @АлистерБрентон #сецурити #инфосец пиц.твиттер.цом/бкеГЗИБфВв
- Алистер Брентон (@АлистерБрентон) 2. јуна 2020
Важно је додати да неколико додатака има оправдане разлоге за повезивање да би се заштитили спољни сервиси. Међутим, истраживачи тврде да откривају да непријатно велики број апликација није имао јасан разлог да успостави везу са спољним услугама.
Забрињавајуће је приметити да корисници немају никакав увид у то коју спољну услугу апликације Г Суите можда комуницирају. Поред тога, нема информација о природи и сврси комуникације. Корисници имају само описе апликација и политике приватности које добровољно пружају програмери апликација како би покушали да разумеју разлог, сврху и природу комуникације апликације Г Суите Маркетплаце и спољне услуге.
Гоогле не примењује стриктно ограничења наметнута за „непроверене“ апликације?
Осим комуникације са спољним службама, истраживачи су тврдили да постоји још једно питање које се односи на поступак прегледа Г Суите Маркетплаце-а или његов недостатак. Процес прегледа је обавезан за све апликације које се пошаљу на тржиште. Процес постаје још строжи и дуготрајнији за апликације које упућују АПИ позиве које Гоогле класификује као осетљиве или ограничене.
Процес прегледа апликација које упућују осетљиве АПИ позиве може да траје од 3 до 5 дана. У међувремену, апликацијама које упућују „Ограничене“ АПИ позиве или комуницирају са корисниковим подацима Гмаил-а или Гоогле диска може бити потребно између 4 и 8 недеља.
Да би привремено заобишао тако дугачак поступак прегледа и одобрења, Гоогле дозвољава програмерима апликација да на Г Суите Маркетплаце додају апликације као „непроверене“. Гоогле само пљусне ознаку упозорења у облику поруке на целој страници која упозорава кориснике на опасност од инсталирања потенцијално опасне апликације која још није прошла кроз поступак прегледа. Постоји још једно ограничење које покушава да ограничи „непроверене“ Г Суите апликације на само 100 инсталација.
-Истраживачи су анализирали 1.392 независних апликација Г Суите
-Нашли су 481 апликацију која се повезује са спољним услугама
- 103 од њих је имало пуни приступ Гоогле диску
- 81 је имао потпун Гмаил приступ
- 15 је имало пуни приступ Гоогле календару пиц.твиттер.цом/ЊзбУСхзПи- Цаталин Цимпану (@цампусцоди) 2. јуна 2020
Међутим, истраживачи тврде да су открили да су многе непроверене апликације стекле више од 100 корисника док су чекале да буду прегледане. Ово снажно сугерише да Гоогле намерно ублажава ограничење „100 нових корисника“.
Таква пракса или лоша примена смерница лако могу довести до отпремања злонамерних апликација у продавницу са једином сврхом прикупљања података од Гоогле корисника. Већина корисника Гоогле-овог Г Суите пакета су из предузећа. Ово значајно повећава ризик од хаковања социјалног инжењеринга и сличних напада.
Истраживачи предлажу да процес преместите или потражите и доделите дозволу из поступка инсталирања у време када апликације први пут требају одређену дозволу. Тврдња Реиес анд Лацк, прелазећи са дозвола за време инсталирања на дозволе током извођења, значајно побољшава шансе да корисници примете сумњиве апликације и повуку се или одбију давање дозволе.
Ознаке гоогле
