عدد الكلمات في محرر مستندات جوجل
تعتبر منظومة تطبيقات Google آمنة وجديرة بالثقة وتم التحقق منها. ومع ذلك ، أثار باحثان أمنيان بعض المخاوف بشأن عدد كبير من التطبيقات من سوق G Suite . يدعي الباحثون أن العديد من التطبيقات لديها حق الوصول إلى حسابات Gmail و Drive. في حين أن هذا أمر مفهوم ، فإن العديد من التطبيقات تتواصل أيضًا مع خدمات خارجية لم يتم الكشف عنها. قد يمثل هذا فرصة محفوفة بالمخاطر لمسارات البيانات السرية من حسابات Google إلى المواقع أو الكيانات التي لم يتم التحقق منها وغير المكشوف عنها.
تضمنت الأبحاث الحديثة التي أجراها إيروين رييس ومايكل لاك من Two Six Labs تحليلًا شاملاً للأذونات المطلوبة بواسطة تطبيقات Google التابعة لجهات خارجية المدرجة في G Suite Marketplace. يدعي الثنائي أنهم اكتشفوا أن العديد من التطبيقات فشلت في التثبيت بشكل صحيح على حساب Google التجريبي ، بينما طلب نصفهم تقريبًا إذنًا للتواصل مع الخدمات الخارجية ، مما أدى إلى إنشاء جسر بين بيانات Drive و Gmail الحساسة للمستخدم والعالم الخارجي. بالنسبة إلى عدد قليل من التطبيقات ، كان اتصال البيانات غير واضح ، ولم يتم ذكر الأسباب علانية.
بعض تطبيقات Google G Suite Marketplace بها طلبات أذونات مشكوك فيها واتصال غير واضح بخدمات خارجية غير معلنة؟
قال الباحثان Reyes and Lack إنهما استخدما نصًا آليًا لتثبيت جميع التطبيقات البالغ عددها 1392 المدرجة في G Suite Marketplace على حساب Google التجريبي. شرعوا في تسجيل الأذونات التي طلبها كل تطبيق. من بين 1392 تطبيقًا تم اختبارها ، فشل 405 مع العديد من الأخطاء. من بين 987 تطبيقًا المتبقية التي يمكن تثبيتها ، تطلب 889 تطبيقًا الوصول إلى بيانات المستخدم عبر Google APIs. لا داعي للإضافة ، فقد أدى ذلك إلى طلب إذن يمنحه غالبية المستخدمين عادةً.
من المثير للقلق ملاحظة أن ما يقرب من نصف أو 481 تطبيقًا من G Suite Marketplace طلب إذنًا للتواصل مع الخدمات الخارجية. سمح هذا بشكل أساسي بإنشاء جسر افتراضي بين بيانات Drive الحساسة للمستخدم وبيانات Gmail والخدمات التي كانت خارج محفظة Google. من بين 481 تطبيقًا ، يمكن لـ 21 بالمائة (103 تطبيقًا) الوصول إلى ملفات Google Drive والتفاعل معها ، و 17 بالمائة (81 تطبيقًا) يمكنهم الوصول إلى صناديق البريد الإلكتروني والتفاعل معها ، ويمكن لـ 3 بالمائة (15 تطبيقًا) الوصول إلى بيانات التقويم والتفاعل معها.
G Suite Marketplace مهيأ لـ #خصوصية الفضيحة ، يحذر الباحثون تطبيقات G Suite التي لديها حق الوصول إلى بيانات Drive و Gmail التي وجدت أنها تتواصل مع خدمات خارجية لم يتم الكشف عنها. https://t.co/gIWnI3VVNx عبر تضمين التغريدة #الأمان #أمن المعلومات pic.twitter.com/bkeGZYBfVv
- أليستر برينتون (AlisterBrenton) 2 يونيو 2020
من المهم أن نضيف أن العديد من الوظائف الإضافية لها أسباب مشروعة للاتصال بخدمات خارجية آمنة. ومع ذلك ، يزعم الباحثون أنهم اكتشفوا أن عددًا كبيرًا غير مريح من التطبيقات لا يبدو أن لديها سببًا واضحًا لإقامة اتصال بالخدمات الخارجية.
من المثير للقلق ملاحظة أن المستخدمين ليس لديهم أي إحصاءات حول الخدمة الخارجية التي قد تتواصل معها تطبيقات G Suite. بالإضافة إلى ذلك ، لا توجد معلومات حول طبيعة الاتصالات والغرض منها. لا يمتلك المستخدمون سوى أوصاف التطبيق وسياسات الخصوصية التي يقدمها مطورو التطبيق طواعية لمحاولة فهم سبب اتصال تطبيق G Suite Marketplace وخدمة خارجية وفهمهما.
لا تطبق Google قيودًا صارمة على التطبيقات 'التي لم يتم التحقق منها'؟
بصرف النظر عن الاتصال بالخدمات الخارجية ، ادعى الباحثون أن هناك مشكلة أخرى مقلقة تتعلق بعملية مراجعة G Suite Marketplace أو عدم وجودها. عملية المراجعة إلزامية لجميع التطبيقات المقدمة إلى السوق. تصبح العملية أكثر صرامة وطولًا بالنسبة للتطبيقات التي تجري مكالمات API والتي تصنفها Google على أنها إما حساسة أو مقيدة.
يمكن أن تتراوح عملية مراجعة التطبيقات التي تجري مكالمات حساسة لواجهة برمجة التطبيقات من 3 إلى 5 أيام. وفي الوقت نفسه ، يمكن أن تستغرق التطبيقات التي تجري مكالمات 'مقيدة' لواجهة برمجة التطبيقات أو تتفاعل مع بيانات Gmail أو Google Drive للمستخدم ما بين 4 إلى 8 أسابيع.
لتجاوز مثل هذه المراجعة المطولة وعملية الموافقة مؤقتًا ، تسمح Google لمطوري التطبيقات بإدراج التطبيقات على أنها 'لم يتم التحقق منها' في G Suite Marketplace. تقوم Google فقط بوضع علامة تحذير في شكل رسالة صفحة كاملة تحذر المستخدمين من خطر تثبيت تطبيق يحتمل أن يكون خطيرًا لم يمر بعد بعملية المراجعة الخاصة به. هناك قيد آخر يحاول قصر تطبيقات G Suite 'التي لم يتم التحقق منها' على 100 عملية تثبيت فقط.
- حلل الباحثون 1392 تطبيقًا تابعًا لجهات خارجية في G Suite
-وجدوا 481 تطبيقًا متصل بخدمات خارجية
- 103 من هؤلاء لديهم وصول كامل إلى Google Drive
- 81 لديه وصول كامل إلى Gmail
- 15 لديه وصول كامل إلى تقويم Google pic.twitter.com/NJzbUShzPy- كاتالين سيمبانو (campuscodi) 2 يونيو 2020
ومع ذلك ، يزعم الباحثون أنهم وجدوا أن العديد من التطبيقات التي لم يتم التحقق منها قد اكتسبت أكثر من 100 مستخدم في انتظار المراجعة. يشير هذا بقوة إلى أن Google تعمدت تخفيف حد '100 مستخدم جديد'.
يمكن أن تؤدي مثل هذه الممارسات أو سوء تنفيذ السياسات إلى ظهور تطبيقات ضارة يتم تحميلها على المتجر بغرض وحيد هو جمع البيانات من مستخدمي Google. غالبية مستخدمي حزمة Google G Suite هم من قطاع المؤسسات. وهذا يزيد بشكل كبير من مخاطر الاختراق في الهندسة الاجتماعية وهجمات مماثلة.
يقترح الباحثون نقل العملية أو السعي للحصول على إذن ومنحه من إجراء التثبيت إلى الوقت الذي تحتاج فيه التطبيقات فعليًا إلى إذن خاص لأول مرة. تعمل مطالبة Reyes and Lack ، التي تنتقل من أذونات وقت التثبيت إلى أذونات وقت التشغيل ، على تحسين فرص المستخدمين في ملاحظة التطبيقات المشبوهة والتراجع عن منح الإذن أو رفض منحه.
العلامات جوجل
