Google'ın G Suite Uygulamaları Açıklanmayan Harici Hizmetlerle İletişim Kuruyor ve G-Drive ve Gmail Verilerini Muhtemelen Paylaşıyor mu?
Google'ın uygulama ekosistemi güvenli, güvenilir ve doğrulanmış kabul edilir. Bununla birlikte, birkaç güvenlik araştırmacısı, G Suite Marketplace'teki çok sayıda uygulama hakkında birkaç endişeyi dile getirdi. Araştırmacılar, birkaç uygulamanın Gmail ve Drive hesaplarına erişimi olduğunu iddia ediyor. Bu anlaşılabilir bir durum olsa da, uygulamaların çoğu açıklanmayan harici hizmetlerle de iletişim kurar. Bu, Google hesaplarından doğrulanmamış ve ifşa edilmemiş konumlara veya varlıklara gizli veri yolları için riskli bir fırsat sunabilir.
Irwin Reyes ve Michael Lack of Two Six Labs tarafından yürütülen son araştırmalar, G Suite Marketplace'te listelenen üçüncü taraf Google uygulamaları tarafından talep edilen izinlerin kapsamlı analizini içeriyordu. İkili, uygulamaların birçoğunun bir test Google hesabına doğru şekilde yüklenemediğini keşfettiklerini iddia ederken, neredeyse yarısı harici hizmetlerle iletişim kurmak için izin talep ederek kullanıcının hassas Drive ve Gmail verileri ile dış dünya arasında bir köprü oluşturduğunu iddia ediyor. Oldukça az sayıda uygulama için veri bağlantısı net değildi ve nedenleri açıkça belirtilmemişti.
Bazı Google G Suite Marketplace Uygulamalarının Şüpheli İzin İstekleri ve Açıklanmayan Harici Hizmetlere Açıkça Bağlanması mı Var?
Araştırmacılar Reyes ve Lack, G Suite Marketplace'te listelenen 1.392 uygulamanın tamamını bir test Google hesabına yüklemek için otomatik bir komut dosyası kullandıklarını söyledi. Her bir uygulamanın talep ettiği izinleri kaydetmeye devam ettiler. Test ettikleri 1.392 uygulamadan 405'i çok sayıda hatayla başarısız oldu. Yüklenebilecek kalan 987 uygulamadan 889 uygulama, Google API'leri aracılığıyla kullanıcı verilerine erişim gerektirdi. Eklemeye gerek yok, bu, kullanıcıların çoğunluğunun genellikle verdiği bir izin talebini tetikledi.
G Suite Marketplace'teki neredeyse yarısının veya 481 uygulamanın harici hizmetlerle iletişim kurmak için izin istediğini belirtmek gerekir. Bu, temelde, bir kullanıcının hassas Drive ile Gmail verileri ve Google portföyünün dışındaki hizmetler arasında sanal bir köprü oluşturulmasına izin verdi. Bu 481 uygulamanın yüzde 21'i (103 uygulama) Google Drive dosyalarına erişebilir ve etkileşimde bulunabilir, yüzde 17'si (81 uygulama) e-posta gelen kutularına erişebilir ve etkileşimde bulunabilir ve yüzde 3'ü (15 uygulama) takvim verilerine erişebilir ve etkileşimde bulunabilir.
Birkaç eklentinin güvenli dış hizmetlere bağlanmak için meşru nedenleri olduğunu eklemek önemlidir. Ancak araştırmacılar, rahatsız edici derecede fazla sayıda uygulamanın harici hizmetlerle bağlantı kurmak için net bir nedeni olmadığını keşfettiklerini iddia ediyor.
Kullanıcıların, G Suite uygulamalarının hangi harici hizmetle iletişim kuruyor olabileceğine dair herhangi bir kavrayışına sahip olmadığına dikkat etmek önemlidir. Ayrıca, iletişimin niteliği ve amacı hakkında hiçbir bilgi yoktur. Kullanıcılar, bir G Suite Marketplace uygulamasının ve harici bir hizmetin iletişiminin nedenini, amacını ve yapısını denemek ve anlamak için yalnızca uygulama geliştiricileri tarafından gönüllü olarak sağlanan uygulama açıklamalarına ve gizlilik politikalarına sahiptir.
Google, "Doğrulanmamış" Uygulamalara Uygulanan Kısıtlamaları Kesin Olarak Uygulamaz?
Araştırmacılar, harici hizmetlerle iletişimin yanı sıra, G Suite Marketplace’in inceleme süreci veya eksikliğiyle ilgili bir sorun daha olduğunu iddia etti. İnceleme süreci, pazara gönderilen tüm uygulamalar için zorunludur. Google'ın Hassas veya Kısıtlı olarak sınıflandırdığı API çağrılarını yapan uygulamalar için süreç daha da zorlu ve uzun hale geliyor.
Hassas API çağrıları yapan uygulamalar için inceleme süreci 3 ila 5 gün arasında değişebilir. Bu arada, "Kısıtlı" API çağrıları yapan veya bir kullanıcının Gmail veya Google Drive verileriyle etkileşimde bulunan uygulamalar 4 ila 8 hafta sürebilir.
Google, böylesine uzun bir inceleme ve onay sürecini geçici olarak atlamak için, uygulama geliştiricilerinin uygulamaları G Suite Marketplace'te "doğrulanmamış" olarak listelemesine izin verir. Google yalnızca, kullanıcıları, henüz inceleme sürecinden geçmemiş, potansiyel olarak tehlikeli bir uygulamayı yükleme tehlikesine karşı uyaran, tam sayfa bir mesaj biçiminde bir uyarı etiketi yapıştırır. "Doğrulanmamış" G Suite uygulamalarını yalnızca 100 yüklemeyle sınırlamaya çalışan bir kısıtlama daha var.
Ancak araştırmacılar, doğrulanmamış birçok uygulamanın incelenmeyi bekledikleri için 100'den fazla kullanıcı kazandığını bulduklarını iddia ediyorlar. Bu, Google'ın “100 yeni kullanıcı” kesin sınırını kasıtlı olarak gevşettiğini kuvvetle göstermektedir.
Bu tür uygulamalar veya politikaların kötü uygulanması, yalnızca Google kullanıcılarından veri toplamak amacıyla mağazaya kötü amaçlı uygulamaların yüklenmesine neden olabilir. Google'ın G Suite paketi kullanıcılarının çoğu kurumsal sektördendir. Bu, sosyal mühendislik korsanlığı ve benzer saldırı riskini önemli ölçüde artırır.
Araştırmacılar, uygulamanın ilk kez gerçekten belirli bir izne ihtiyaç duyduğu zamana kadar süreci taşımayı veya yükleme prosedüründen izin almayı ve vermeyi öneriyor. Reyes ve Lack iddiası, yükleme zamanı izinlerinden çalışma zamanı izinlerine geçerek, kullanıcıların şüpheli uygulamaları fark etme ve geri izleme veya izin vermeyi reddetme şansını önemli ölçüde artırır.