Изследване, публикувано в края на миналия месец е открило, че много от приложенията в магазина на G Suite, G Suite Marketplace, имат достъп до Gmail и Drive акаунтите на потребителите, а освен това и комуникират с външни устройства.

Проучването, проведено от Ъруин Рейес и Макъл Лак от Two Six Labs, прави анализ разрешенията, които искат външни за Google приложения, представени в G Suite Marketplace. За целите на своето изследване, през януари те създават автоматизиран скрипт, с който инсталират всичките 1392 приложения в G Suite Marketplace върху тестов акаунт и записват разрешенията, които те изискват.

При започването на теста, Лак и Рейес успяват да инсталират 987 от приложенията – 405 не успяват да се инсталират, представяйки различни грешки. От тези 987 приложения, 889 изискват достъп до потребителските данни чрез апликационно-програмния интерфейс на Google, с което активират и споменатите изисквания за разрешения, предава ZDNet.

Оказало се, че 49% или 481 приложения искат разрешение за комуникация с външни услуги, създавайки своеобразен „мост“ между Gmail и Drive акаунтите с външния свят. 103 от тези 451 приложения могат да си взаимодействат с файлове в Drive, 81 получават достъп до пощенските кутии, 15 – до календара. И макар, както и признават специалистите, някои от приложенията да имат основание да се свързват с външни услуги, то за повечето от тях причината за това да не е съвсем ясна. Рейес и Лак отбелязват, че ако не са описанията, написани от някои от разработчиците, то потребителите няма как да знаят към кои външни услуги се свързват разширенията и с каква цел.

Лак и Рейес отбелязват също така и друг потенциален вектор на риск. Макар и прегледа на публикуваните приложения, особено тези, които изискват „чувствителни“ (от 3 до 5 дни) и „ограничени“ (от 4 до 8 седмици), да е задължителен, Google позволява на разработчиците да публикуват приложенията си в магазина, като те биват маркирани като „непроверени“. Освен това, независимо от твърденията на компанията, че позволява не повече от 100 инсталации на подобни приложения, то изследователите отчитат, че броя на инсталациите на някои от тях, превишава значително това ограничение.

Two Six Labs отчитат, че екосистемата от приложения на G Suite Marketplace може да се сблъска с проблемите, пред които се изправя Facebook – качването на приложения, чиято единствена цел ще е събирането на потребителска информация. Това, което биха могли да направят Google, подчертават Рейес и Лак, е да въведат уведомления за разрешения при инсталация, подобни на тези от магазина на Android. Докладът е представен през май по време на 41-то издание на 41st IEEE Symposium on Security and Privacy Workshops. Повече за откритията им, може да откриете тук (pdf).

4 3 гласа
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари