Các ứng dụng G Suite của Google đang giao tiếp và có thể chia sẻ dữ liệu G-Drive và Gmail với các dịch vụ bên ngoài không được tiết lộ?
Hệ sinh thái ứng dụng của Google được coi là an toàn, đáng tin cậy và đã được xác minh. Tuy nhiên, một số nhà nghiên cứu bảo mật đã đưa ra một số lo ngại về một số lượng lớn ứng dụng từ G Suite Marketplace. Các nhà nghiên cứu khẳng định một số ứng dụng có quyền truy cập vào tài khoản Gmail và Drive. Mặc dù điều này là dễ hiểu, nhưng nhiều ứng dụng cũng giao tiếp với các dịch vụ bên ngoài không được tiết lộ. Điều này có thể tạo ra cơ hội rủi ro cho các đường dẫn dữ liệu bí mật từ tài khoản Google đến các vị trí hoặc thực thể chưa được xác minh và không được tiết lộ.
Nghiên cứu gần đây được thực hiện bởi Irwin Reyes và Michael Lack of Two Six Labs liên quan đến phân tích sâu rộng về các quyền được yêu cầu bởi các ứng dụng Google bên thứ ba được liệt kê trên G Suite Marketplace. Bộ đôi tuyên bố họ đã phát hiện ra nhiều ứng dụng không được cài đặt chính xác trên tài khoản Google thử nghiệm, trong khi gần một nửa yêu cầu quyền giao tiếp với các dịch vụ bên ngoài, tạo cầu nối giữa dữ liệu Gmail và Drive nhạy cảm của người dùng và thế giới bên ngoài. Đối với một số ứng dụng, kết nối dữ liệu không rõ ràng và lý do không được đề cập công khai.
Một số ứng dụng Google G Suite Marketplace có yêu cầu quyền đáng ngờ và kết nối không rõ ràng với các dịch vụ bên ngoài, không được tiết lộ?
Các nhà nghiên cứu Reyes và Lack cho biết họ đã sử dụng tập lệnh tự động để cài đặt tất cả 1.392 ứng dụng được liệt kê trên G Suite Marketplace trên tài khoản Google thử nghiệm. Họ tiến hành ghi lại các quyền mà mỗi ứng dụng yêu cầu. Từ 1.392 ứng dụng mà họ đã thử nghiệm, 405 ứng dụng không thành công với nhiều lỗi. Từ 987 ứng dụng còn lại có thể được cài đặt, 889 ứng dụng yêu cầu quyền truy cập vào dữ liệu người dùng thông qua Google API. Không cần phải nói thêm, điều này đã kích hoạt một yêu cầu cấp quyền mà đa số người dùng thường cấp.
Cần lưu ý rằng gần một nửa hoặc 481 ứng dụng từ G Suite Marketplace đã yêu cầu quyền giao tiếp với các dịch vụ bên ngoài. Điều này về cơ bản cho phép tạo cầu nối ảo giữa Drive nhạy cảm của người dùng với dữ liệu và dịch vụ Gmail nằm ngoài danh mục đầu tư của Google. Trong số 481 ứng dụng này, 21 phần trăm (103 ứng dụng) có thể truy cập và tương tác với các tệp Google Drive, 17 phần trăm (81 ứng dụng) có thể truy cập và tương tác với hộp thư đến email và 3 phần trăm (15 ứng dụng) có thể truy cập và tương tác với dữ liệu lịch.
Điều quan trọng cần nói thêm là một số tiện ích bổ sung có lý do chính đáng để kết nối với các dịch vụ an toàn bên ngoài. Tuy nhiên, các nhà nghiên cứu cho rằng họ phát hiện ra một số lượng lớn các ứng dụng dường như không có lý do rõ ràng để thiết lập kết nối với các dịch vụ bên ngoài.
Cần lưu ý rằng người dùng không có bất kỳ thông tin chi tiết nào về dịch vụ bên ngoài nào mà các ứng dụng G Suite có thể đang giao tiếp. Ngoài ra, không có thông tin nào về bản chất và mục đích của thông tin liên lạc. Người dùng chỉ có mô tả ứng dụng và chính sách bảo mật do nhà phát triển ứng dụng tự nguyện cung cấp để thử và hiểu lý do, mục đích và bản chất của việc giao tiếp giữa ứng dụng G Suite Marketplace và một dịch vụ bên ngoài.
Google không thực hiện nghiêm ngặt các hạn chế áp dụng cho các ứng dụng "Chưa được xác minh"?
Ngoài giao tiếp với các dịch vụ bên ngoài, các nhà nghiên cứu cho rằng còn một vấn đề liên quan đến quy trình xem xét của G Suite Marketplace hoặc sự thiếu sót của quy trình này. Quá trình xem xét là bắt buộc đối với tất cả các ứng dụng được gửi đến thị trường. Quy trình này thậm chí còn trở nên nghiêm ngặt và kéo dài hơn đối với các ứng dụng thực hiện lệnh gọi API mà Google phân loại là Nhạy cảm hoặc Hạn chế.
Quá trình xem xét các ứng dụng thực hiện lệnh gọi API nhạy cảm có thể kéo dài từ 3 đến 5 ngày. Trong khi đó, các ứng dụng thực hiện lệnh gọi API "Bị hạn chế" hoặc tương tác với dữ liệu Gmail hoặc Google Drive của người dùng có thể mất từ 4 đến 8 tuần.
Để tạm thời bỏ qua quy trình xem xét và phê duyệt kéo dài như vậy, Google cho phép các nhà phát triển ứng dụng liệt kê các ứng dụng là "chưa được xác minh" trên G Suite Marketplace. Google chỉ dán nhãn cảnh báo dưới dạng một thông báo toàn trang cảnh báo người dùng về nguy cơ cài đặt một ứng dụng tiềm ẩn nguy hiểm chưa qua quá trình xem xét. Còn một hạn chế nữa là cố gắng giới hạn các ứng dụng G Suite “chưa được xác minh” ở mức chỉ 100 lượt cài đặt.
Tuy nhiên, các nhà nghiên cứu tuyên bố rằng họ phát hiện ra rằng nhiều ứng dụng chưa được xác minh đã có hơn 100 người dùng khi họ chờ được xem xét. Điều này cho thấy rõ ràng rằng Google đang cố ý nới lỏng giới hạn cứng "100 người dùng mới".
Những thực tiễn như vậy hoặc việc thực hiện không tốt các chính sách có thể dễ dàng làm phát sinh các ứng dụng độc hại được tải lên trên cửa hàng với mục đích duy nhất là thu thập dữ liệu từ người dùng Google. Phần lớn người dùng gói G Suite của Google đến từ khu vực doanh nghiệp. Điều này làm tăng đáng kể nguy cơ xảy ra các vụ hack kỹ thuật xã hội và các cuộc tấn công tương tự.
Các nhà nghiên cứu đề xuất di chuyển quy trình hoặc tìm kiếm và cấp quyền từ quy trình cài đặt vào thời điểm các ứng dụng thực sự cần sự cho phép cụ thể lần đầu tiên. Khiếu nại Reyes and Lack, chuyển từ quyền thời gian cài đặt sang quyền thời gian chạy, cải thiện đáng kể khả năng người dùng nhận thấy các ứng dụng đáng ngờ và quay lại hoặc từ chối cấp quyền.