Приложения G Suite Marketplace передают пользовательские данные сторонним сервисам

Приложения G Suite Marketplace передают пользовательские данные сторонним сервисам

Большинство программ имеет доступ к учетным записям пользователей Google Gmail и Google Drive.

Специалисты Ирвин Рейес (Irwin Reyes) и Майкл Лэк (Michael Lack) из ИБ-компании Two Six Labs сообщили, что многие приложения интернет-магазина G Suite Marketplace не только имеют доступ к учетным записям пользователей Google Gmail и Google Диск, но также обмениваются данными с неизвестными внешними сервисами.

В рамках исследования эксперты проанализировали разрешения, запрошенные приложениями из G Suite Marketplace. Специалисты проанализировали 1392 приложения с G Suite Marketplace и запрашиваемые ими разрешения.

Из 1392 проанализированных приложений в 405 были обнаружены различные проблемы при установке. Из 987 установленных приложений 889 программ запрашивали доступ к пользовательским данным через API Google.

Из 889 программ почти половина (481) запрашивали разрешение на связь с внешними сервисами для передачи конфиденциальных данных пользователей Google Диск и Gmail. Среди 481 приложения, которые могут взаимодействовать с внешними сервисами, 103 (21%) могли получать доступ к файлам Google Диск, 81 (17%) могли получать доступ к почтовым ящикам электронной почты, а 15 (3,0%) могли взаимодействовать с данными календаря.

По словам исследователей, помимо описаний приложений и политик конфиденциальности, предоставляемых разработчиками приложений, пользователи не имеют никакого представления о том, с какими внешними сервисами могут взаимодействовать приложения G Suite.

Специалисты также обнаружили другую проблему в G Suite Marketplace, связанную с процессом обзора приложений. Данный процесс является обязательным для всех программ и может длиться от 3 до 5 дней для приложений, которые совершают «конфиденциальные» вызовы API, или от 4 до 8 недель для приложений, которые делают «ограниченные» вызовы API и взаимодействуют с данными Gmail или Google Диск.

Поскольку это создает длительные сроки обработки для приложений, представленных на рассмотрение, Google позволяет разработчикам приложений указывать приложения как «непроверенные» на G Suite Marketplace и уведомляет пользователей об опасности установки потенциально опасного приложения, которое еще не прошло процесс проверки. В качестве дополнительной меры предосторожности Google также ограничивает число «непроверенных» приложений G Suite не более чем 100 установками, пока они не пройдут процесс проверки.

По словам экспертов, во время второго сканирования G Suite Marketplace они обнаружили, что многие непроверенные приложения были установлены более 100 раз.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!