Приложения G Suite Marketplace передают пользовательские данные сторонним сервисам
3 июня 2020 года
Специалисты Ирвин Рейес (Irwin Reyes) и Майкл Лэк (Michael Lack) из ИБ-компании Two Six Labs сообщили, что многие приложения интернет-магазина G Suite Marketplace не только имеют доступ к учетным записям пользователей Google Gmail и Google Диск, но также обмениваются данными с неизвестными внешними сервисами.
В рамках исследования эксперты проанализировали разрешения, запрошенные приложениями из G Suite Marketplace. Специалисты проанализировали 1392 приложения с G Suite Marketplace и запрашиваемые ими разрешения.
Из 1392 проанализированных приложений в 405 были обнаружены различные проблемы при установке. Из 987 установленных приложений 889 программ запрашивали доступ к пользовательским данным через API Google.
Из 889 программ почти половина (481) запрашивали разрешение на связь с внешними сервисами для передачи конфиденциальных данных пользователей Google Диск и Gmail. Среди 481 приложения, которые могут взаимодействовать с внешними сервисами, 103 (21%) могли получать доступ к файлам Google Диск, 81 (17%) могли получать доступ к почтовым ящикам электронной почты, а 15 (3,0%) могли взаимодействовать с данными календаря.
По словам исследователей, помимо описаний приложений и политик конфиденциальности, предоставляемых разработчиками приложений, пользователи не имеют никакого представления о том, с какими внешними сервисами могут взаимодействовать приложения G Suite.
Специалисты также обнаружили другую проблему в G Suite Marketplace, связанную с процессом обзора приложений. Данный процесс является обязательным для всех программ и может длиться от 3 до 5 дней для приложений, которые совершают «конфиденциальные» вызовы API, или от 4 до 8 недель для приложений, которые делают «ограниченные» вызовы API и взаимодействуют с данными Gmail или Google Диск.
Поскольку это создает длительные сроки обработки для приложений, представленных на рассмотрение, Google позволяет разработчикам приложений указывать приложения как «непроверенные» на G Suite Marketplace и уведомляет пользователей об опасности установки потенциально опасного приложения, которое еще не прошло процесс проверки. В качестве дополнительной меры предосторожности Google также ограничивает число «непроверенных» приложений G Suite не более чем 100 установками, пока они не пройдут процесс проверки.
По словам экспертов, во время второго сканирования G Suite Marketplace они обнаружили, что многие непроверенные приложения были установлены более 100 раз.
Источники править
Эта статья содержит материалы из статьи «Приложения G Suite Marketplace передают пользовательские данные сторонним сервисам», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.