Los investigadores advierten que G Suite Marketplace está preparado para un escándalo de privacidad


Mercado de G Suite

Imagen: ZDNet

En una investigación presentada el mes pasado, los investigadores de seguridad dijeron que muchas de las aplicaciones enumeradas en el Mercado de G Suite tienen acceso a las cuentas de Gmail y Generate de los usuarios, pero también se comunican con servicios externos no revelados, creando la oportunidad para la filtración de datos secretos de las cuentas de Google.

La investigación, realizada por Irwin Reyes y Michael Deficiency de Two 6 Labs, analizó los permisos solicitados por aplicaciones de terceros de Google que figuran en el G Suite Marketplace.

Reyes y Lack dijeron que usaron un script automatizado para instalar todas las 1,392 aplicaciones que figuran en el G Suite Marketplace el 2 de enero de 2020, en una cuenta de prueba de Google y luego registraron los permisos que cada aplicación solicitó.

El dúo dijo que encontraron que de las 1,392 aplicaciones que probaron, 405 fallaron con varios errores. De las 987 aplicaciones que podrían instalarse, los investigadores dijeron que 889 aplicaciones requerían acceso a los datos del usuario a través de las API de Google y, por lo tanto, activaron una solicitud de permiso.

gsm-chart1.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/06/02/0b517917-55be-4fe2-a47e-fe815904cc0c/gsm-chart1.png

Imagen: Dos seis laboratorios

De estos 889, casi la mitad (49%), que representan 481 aplicaciones, solicitaron permiso para comunicarse con servicios externos, creando un puente entre los datos sensibles de Push y Gmail de un usuario y el mundo exterior.

El equipo de investigación dice que de estas 481 aplicaciones que podrían conectarse con el mundo exterior, 103 (21% de 481) podrían acceder e interactuar con los archivos de Google Drive, 81 (17%) podrían acceder e interactuar con las bandejas de entrada de correo electrónico, y 15 ( 3.%) podría acceder e interactuar con los datos del calendario.

Sin embargo, aunque algunos complementos tenían razones legítimas para conectarse a servicios externos, para algunos, esto no estaba claro. De hecho, en la mayoría de los casos, los investigadores dijeron que esto no estaba muy claro.

Reyes y Lack dicen que más allá de las descripciones de las aplicaciones y las políticas de privacidad proporcionadas voluntariamente por los desarrolladores de la aplicación, los usuarios no tienen ninguna strategy de a qué servicio externo se pueden comunicar las aplicaciones de G Suite o la naturaleza de la comunicación.

gsm-permissions-shown.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/06/02/e50b9413-871a-485b-8372-23a1e030e1f9/gsm-permissions-explained.png

Imagen: Dos seis laboratorios

Las aplicaciones no verificadas representan un peligro para los usuarios de Google

Pero los problemas no terminan aquí. Los investigadores dijeron que también detectaron un segundo problema con el proceso de revisión de G Suite Market.

Este proceso de revisión es obligatorio para todas las aplicaciones enviadas al mercado y especialmente para las aplicaciones que realizan llamadas API que Google clasifica como sensibles o restringidas.

La revisión puede variar de 3 a 5 días para aplicaciones que hacen llamadas API «sensibles», o de 4 a 8 semanas para aplicaciones que hacen llamadas API «restringidas» que interactúan con los datos de Gmail o Google Drive de un usuario.

Debido a que esto genera largos tiempos de respuesta para las aplicaciones enviadas a revisión, Google permite a los desarrolladores de aplicaciones enumerar las aplicaciones como «no verificadas» en el G Suite Marketplace.

Para reducir el peligro de enumerar aplicaciones «no verificadas», cuando los usuarios intentan instalar cualquiera de estas aplicaciones, Google también muestra mensajes de página completa que advierten a los usuarios del peligro de instalar una aplicación potencialmente peligrosa que aún no ha pasado por su proceso de revisión.

gsm-unverified.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/06/02/b34bf5c5-4d76-49d6-a628-16f225322f49/gsm-unverified.png

Imagen: Dos seis laboratorios

Además, como precaución secundaria, Google también limita las aplicaciones de G Suite «no verificadas» a no más de 100 instalaciones hasta que pasen el proceso de revisión.

Sin embargo, el equipo de investigación dice que durante un segundo análisis del G Suite Marketplace que llevaron a cabo el 18 de enero de 2020, 16 días después de su investigación inicial, descubrieron que muchas aplicaciones no verificadas habían ganado más de 100 usuarios mientras esperaban ser revisado, lo que sugiere que Google no estaba aplicando su límite estricto de «100 nuevos usuarios».

Los investigadores recomiendan pasar a los permisos de tiempo de instalación

El equipo de Two Six Labs argumenta que muchos de los mismos problemas que plagaron el ecosistema de aplicaciones de terceros de Fb ahora impactan en G Suite Market de Google, lo que pronto puede provocar que se carguen aplicaciones maliciosas en la tienda con el único propósito de recopilar datos de los usuarios de Google ( la mayoría de los cuales son usuarios empresariales del paquete G Suite de Google).

Reyes y Deficiency dicen que una forma de abordar este problema es si Google pasa de solicitar permisos a los usuarios cuando se instala la aplicación a cuando se usa por primera vez.

Pasar de los permisos de tiempo de instalación a los permisos de tiempo de ejecución tiene un historial probado para mejorar la capacidad de los usuarios de detectar aplicaciones intrusivas, y es una técnica que Google mismo también empleó anteriormente para mejorar la seguridad del ecosistema de aplicaciones de Android.

La investigación del equipo se presentó el mes pasado en el 41º Simposio IEEE sobre talleres de seguridad y privacidad. Un borrador de su trabajo de investigación, titulado «Privacidad de API: una mirada a los permisos y políticas de G Suite Marketplace», está disponible en formato PDF aquí o aquí.

gsm-permissions.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/06/02/a4ab1d5b-26b1-478b-97aa-3e59ae194771/gsm-permissions.png

Imagen: Dos seis laboratorios



Enlace a la noticia original