Os aplicativos do G Suite do Google se comunicam e possivelmente compartilham dados do G-Drive e do Gmail com serviços externos não divulgados?

Notícia
Programas / Os aplicativos do G Suite do Google se comunicam e possivelmente compartilham dados do G-Drive e do Gmail com serviços externos não divulgados? 3 minutos lidos

Contagem de palavras no Google Docs



O ecossistema de aplicativos do Google é considerado seguro, confiável e verificado. No entanto, alguns pesquisadores de segurança levantaram algumas preocupações sobre um grande número de aplicativos do G Suite Marketplace . Os pesquisadores afirmam que vários aplicativos têm acesso a contas do Gmail e do Drive. Embora seja compreensível, muitos dos aplicativos também se comunicam com serviços externos não divulgados. Isso pode representar uma oportunidade arriscada para caminhos clandestinos de dados de contas do Google para locais ou entidades não confirmadas e não divulgadas.

Uma pesquisa recente realizada por Irwin Reyes e Michael Lack, do Two Six Labs, envolveu uma ampla análise das permissões solicitadas por aplicativos do Google de terceiros listados no G Suite Marketplace. A dupla afirma ter descoberto que muitos dos aplicativos não foram instalados corretamente em uma conta de teste do Google, enquanto quase metade solicitou permissão para se comunicar com serviços externos, criando uma ponte entre os dados confidenciais do Google Drive e do Gmail, e o mundo externo. Para alguns aplicativos, a conexão de dados não era clara e os motivos não foram mencionados abertamente.



Alguns aplicativos do Google G Suite Marketplace têm solicitações de permissões questionáveis ​​e conexão pouco clara com serviços externos não divulgados?

Os pesquisadores Reyes e Lack disseram que usaram um script automatizado para instalar todos os 1.392 aplicativos listados no G Suite Marketplace em uma conta de teste do Google. Eles passaram a registrar as permissões que cada um dos aplicativos solicitou. Dos 1.392 aplicativos testados, 405 falharam com vários erros. Dos 987 aplicativos restantes que podem ser instalados, 889 aplicativos exigiram acesso aos dados do usuário por meio de APIs do Google. Nem é preciso acrescentar que isso acionou uma solicitação de permissão que a maioria dos usuários costuma conceder.



É preocupante observar que quase metade ou 481 aplicativos do G Suite Marketplace solicitaram permissão para se comunicar com serviços externos. Isso essencialmente permitiu a criação de uma ponte virtual entre os dados e serviços confidenciais do Google Drive e do Gmail que estavam fora do portfólio do Google. Destes 481 aplicativos, 21 por cento (103 aplicativos) podem acessar e interagir com arquivos do Google Drive, 17 por cento (81 aplicativos) podem acessar e interagir com caixas de entrada de e-mail, e 3 por cento (15 aplicativos) podem acessar e interagir com dados de calendário.



É importante acrescentar que vários complementos têm motivos legítimos para se conectar a serviços externos seguros. No entanto, os pesquisadores afirmam que descobriram que um número desconfortavelmente grande de aplicativos não parecia ter um motivo claro para estabelecer uma conexão com serviços externos.



É preocupante observar que os usuários não têm nenhuma ideia de qual serviço externo os aplicativos do G Suite podem estar se comunicando. Além disso, não há informações sobre a natureza e o propósito das comunicações. Os usuários só têm descrições de aplicativos e políticas de privacidade fornecidas voluntariamente pelos desenvolvedores de aplicativos para tentar entender o motivo, a finalidade e a natureza da comunicação de um aplicativo do G Suite Marketplace e um serviço externo.

O Google não implementa estritamente as restrições impostas aos aplicativos 'não verificados'?

Além da comunicação com serviços externos, os pesquisadores alegaram que há mais um problema preocupante com o processo de revisão do G Suite Marketplace ou a falta dele. O processo de revisão é obrigatório para todos os aplicativos enviados ao marketplace. O processo se torna ainda mais rigoroso e demorado para aplicativos que fazem chamadas de API que o Google classifica como Sensíveis ou Restritas.

O processo de revisão para aplicativos que fazem chamadas sensíveis à API pode variar de 3 a 5 dias. Enquanto isso, os aplicativos que fazem chamadas de API “restritas” ou interagem com os dados do Gmail ou do Google Drive de um usuário podem levar de 4 a 8 semanas.

Para ignorar temporariamente esse longo processo de revisão e aprovação, o Google permite que os desenvolvedores de aplicativos listem os aplicativos como “não verificados” no G Suite Marketplace. O Google apenas coloca um rótulo de aviso na forma de uma mensagem de página inteira que avisa os usuários sobre o perigo de instalar um aplicativo potencialmente perigoso que ainda não passou pelo processo de revisão. Há mais uma restrição que tenta limitar os aplicativos 'não verificados' do G Suite a apenas 100 instalações.

No entanto, os pesquisadores afirmam que descobriram que muitos aplicativos não verificados ganharam mais de 100 usuários enquanto aguardavam a revisão. Isso sugere fortemente que o Google está intencionalmente relaxando o limite rígido de “100 novos usuários”.

Essas práticas ou a má implementação de políticas podem facilmente dar origem ao upload de aplicativos maliciosos na loja com o único propósito de coletar dados de usuários do Google. A maioria dos usuários do pacote G Suite do Google são do setor empresarial. Isso aumenta significativamente o risco de hacks de engenharia social e ataques semelhantes.

Os pesquisadores sugerem mover o processo ou buscar e conceder permissão do procedimento de instalação para o momento em que os aplicativos realmente precisam de uma permissão específica pela primeira vez. Reyes e Lack afirmam, passando de permissões de tempo de instalação para permissões de tempo de execução, melhora significativamente as chances de usuários perceberem aplicativos suspeitos e retroceder ou negar a concessão de permissão.

Tag Google