Apl G Suite Google Berkomunikasi Dan Berkemungkinan Berkongsi Data G-Drive dan Gmail dengan Perkhidmatan Luar yang Tidak Diketahui?

Berita
Perisian / Apl G Suite Google Berkomunikasi Dan Berkemungkinan Berkongsi Data G-Drive dan Gmail dengan Perkhidmatan Luar yang Tidak Diketahui? 3 minit membaca

Jumlah Perkataan dalam Google Docs



Ekosistem aplikasi Google dianggap selamat, boleh dipercayai dan disahkan. Walau bagaimanapun, beberapa penyelidik keselamatan telah mengemukakan beberapa kebimbangan mengenai sebilangan besar aplikasi dari G Suite Marketplace . Para penyelidik mendakwa beberapa aplikasi mempunyai akses ke akaun Gmail dan Drive. Walaupun ini dapat difahami, banyak aplikasi juga berkomunikasi dengan perkhidmatan luaran yang tidak didedahkan. Ini boleh memberi peluang berisiko untuk jalur data rahsia dari akaun Google ke lokasi atau entiti yang belum diverifikasi dan tidak didedahkan.

Penyelidikan terbaru yang dilakukan oleh Irwin Reyes dan Michael Lack dari Two Six Labs melibatkan analisis luas mengenai kebenaran yang diminta oleh aplikasi Google pihak ketiga yang disenaraikan di G Suite Marketplace. Kedua-duanya mendakwa mereka mendapati banyak aplikasi gagal dipasang dengan betul pada akaun Google percubaan, sementara hampir separuh meminta izin untuk berkomunikasi dengan perkhidmatan luaran, mewujudkan jambatan antara data Drive dan Gmail yang sensitif pengguna, dan dunia luar. Untuk beberapa aplikasi, sambungan data tidak jelas, dan alasannya tidak dinyatakan secara terbuka.



Beberapa Aplikasi Google G Suite Marketplace Mempunyai Permintaan Kebenaran yang Boleh Dipersoalkan Dan Sambungan Tidak Jelas Ke Perkhidmatan Luaran dan Tidak Dikenal?

Penyelidik Reyes dan Lack mengatakan mereka menggunakan skrip automatik untuk memasang semua 1,392 aplikasi yang disenaraikan di G Suite Marketplace pada akaun Google ujian. Mereka terus mencatat izin yang diminta oleh setiap aplikasi. Dari 1,392 aplikasi yang mereka uji, 405 gagal dengan banyak kesalahan. Dari baki 987 aplikasi yang dapat dipasang, 889 aplikasi memerlukan akses ke data pengguna melalui Google API. Tidak perlu ditambahkan, ini mencetuskan permintaan izin yang biasanya diberikan oleh majoriti pengguna.



kembalikan mac ke tarikh yang lebih awal

Perlu diketahui bahawa hampir separuh atau 481 aplikasi dari G Suite Marketplace meminta izin untuk berkomunikasi dengan perkhidmatan luaran. Ini pada dasarnya membolehkan pembuatan jambatan maya antara data dan perkhidmatan Drive dan Gmail yang sensitif pengguna yang berada di luar portfolio Google. Dari 481 aplikasi ini, 21 persen (103 aplikasi) dapat mengakses dan berinteraksi dengan fail Google Drive, 17 persen (81 aplikasi) dapat mengakses dan berinteraksi dengan peti masuk e-mel, dan 3 persen (15 aplikasi) dapat mengakses dan berinteraksi dengan data kalendar.



mengoptimumkan windows 10 untuk permainan

Adalah penting untuk menambah bahawa beberapa alat tambahan mempunyai alasan yang sah untuk berhubung untuk mendapatkan perkhidmatan luaran. Walau bagaimanapun, para penyelidik mendakwa bahawa mereka mendapati sebilangan besar aplikasi yang tidak selesa nampaknya tidak mempunyai alasan yang jelas untuk menjalin hubungan dengan perkhidmatan luaran.



Perlu diperhatikan bahawa pengguna tidak memiliki wawasan tentang layanan luaran yang mungkin disampaikan oleh aplikasi G Suite. Selain itu, tidak ada maklumat mengenai sifat dan tujuan komunikasi. Pengguna hanya mempunyai deskripsi aplikasi dan dasar privasi yang disediakan secara sukarela oleh pembangun aplikasi untuk mencuba dan memahami alasan, tujuan, dan sifat komunikasi aplikasi G Suite Marketplace dan perkhidmatan luaran.

Google Tidak Menerapkan Ketat Sekatan yang Dikenakan Pada Aplikasi ‘Tidak Disahkan’?

Selain komunikasi dengan perkhidmatan luaran, para penyelidik mendakwa ada satu lagi masalah yang berkaitan dengan proses tinjauan G Suite Marketplace atau kekurangannya. Proses semakan adalah wajib bagi semua aplikasi yang dihantar ke pasar. Prosesnya menjadi lebih ketat dan panjang untuk aplikasi yang membuat panggilan API yang diklasifikasikan oleh Google sebagai Sensitive atau Restricted.

Proses semakan untuk aplikasi yang membuat panggilan Sensitive API boleh berkisar antara 3 hingga 5 hari. Sementara itu, aplikasi yang membuat panggilan API 'Terhad' atau berinteraksi dengan data Gmail atau Google Drive pengguna dapat memakan waktu antara 4 hingga 8 minggu.

Untuk sementara melewati proses tinjauan dan persetujuan yang panjang, Google membenarkan pembangun aplikasi menyenaraikan aplikasi sebagai 'tidak disahkan' di G Suite Marketplace. Google hanya memukul label amaran dalam bentuk mesej halaman penuh yang memberi amaran kepada pengguna tentang bahaya memasang aplikasi yang berpotensi berbahaya yang belum melalui proses semakannya. Terdapat satu lagi batasan yang cuba mengehadkan aplikasi G Suite 'yang belum disahkan' hanya pada 100 pemasangan.

tingkap pemacu cakera keras 7

Walau bagaimanapun, para penyelidik mendakwa bahawa mereka mendapati bahawa banyak aplikasi yang tidak disahkan telah memperoleh lebih dari 100 pengguna kerana mereka menunggu untuk disemak. Ini menunjukkan bahawa Google dengan sengaja melonggarkan had keras '100 pengguna baru'.

Amalan seperti itu atau pelaksanaan dasar yang buruk dapat dengan mudah menimbulkan aplikasi jahat yang dimuat naik di kedai dengan tujuan mengumpulkan data dari pengguna Google. Sebilangan besar pengguna pakej G Suite Google berasal dari sektor perusahaan. Ini secara signifikan meningkatkan risiko peretasan kejuruteraan sosial dan serangan serupa.

cara menyingkirkan virus skrin merah

Para penyelidik mencadangkan untuk memindahkan proses atau mencari dan memberi kebenaran dari prosedur pemasangan ke saat aplikasi benar-benar memerlukan izin tertentu untuk pertama kalinya. Tuntutan Reyes and Lack, beralih dari izin waktu pemasangan ke izin waktu berjalan, secara signifikan meningkatkan kemungkinan pengguna memperhatikan aplikasi yang mencurigakan dan mundur atau menolak pemberian izin.

Teg google