הערוץ החשאי: אפליקציות צד ג' המחוברות לשירות הדוא"ל העסקי של גוגל
עמי רוחקס דומבה
| 02/06/2020
צילום מסך מgsuite.google.com. לאפליקציות אין קשר לכתבה
במחקר שהוצג בחודש שעבר אמרו חוקרי אבטחת מידע כי לאפליקציות הרשומות בשוק ה-G Suite Marketplace יש גישה לחשבונות Gmail ו-Drive של המשתמשים, אך הם גם מתקשרות עם שירותים חיצוניים שלא נחשפו בפני המשתמש. עובדה היוצרת הזדמנות לגניבת נתונים מחשבונות Google.
המחקר, שבוצע על ידי ארווין רייס ומיכאל לק מ-Two Six Labs, ניתח את ההרשאות שביקשו אפליקציות צד שלישי בגוגל הרשומות בשוק G Suite Marketplace. ריי ולק אמרו כי השתמשו בסקריפט אוטומטי כדי להתקין את כל 1,392 האפליקציות הרשומות בשוק ה- G Suite Market ב- 2 בינואר 2020, על חשבון גוגל ייעודי ואז רשמו את ההרשאות שכל אפליקציה ביקשה.
הצמד אמר שהם מצאו כי מבין 1,392 האפליקציות שבדקו, 405 נכשלו בשגיאות שונות. מבין 987 האפליקציות שניתן להתקין, החוקרים אמרו כי 889 אפליקציות דורשות גישה לנתוני משתמשים באמצעות ממשקי API של Google, ומכאן שהפעילו בקשת הרשאה בהליך ההתקנה. מבין 889 אלה, כמעט מחצית (49%), המהווים 481 אפליקציות, ביקשו אישור לתקשר עם שירותים חיצוניים, ויצרו גשר בין נתוני Drive הרגישים של המשתמש ו- Gmail לבין העולם החיצוני.
צוות המחקר אומר כי מבין 481 האפליקציות הללו שיכולות לגשר אל העולם החיצון, 103 (21% מכלל 481) יוכלו לגשת לקבצי Google Drive ולתקשר איתם, 81 (17%) יוכלו לגשת לאינטראקציות דוא"ל ו- 15 (3.0%) יכולים לגשת לאינטראקציה עם נתוני לוח השנה.
צילום מסך מgsuite.google.com. לאפליקציות אין קשר לכתבה
במחקר שהוצג בחודש שעבר אמרו חוקרי אבטחת מידע כי לאפליקציות הרשומות בשוק ה-G Suite Marketplace יש גישה לחשבונות Gmail ו-Drive של המשתמשים, אך הם גם מתקשרות עם שירותים חיצוניים שלא נחשפו בפני המשתמש. עובדה היוצרת הזדמנות לגניבת נתונים מחשבונות Google.
המחקר, שבוצע על ידי ארווין רייס ומיכאל לק מ-Two Six Labs, ניתח את ההרשאות שביקשו אפליקציות צד שלישי בגוגל הרשומות בשוק G Suite Marketplace. ריי ולק אמרו כי השתמשו בסקריפט אוטומטי כדי להתקין את כל 1,392 האפליקציות הרשומות בשוק ה- G Suite Market ב- 2 בינואר 2020, על חשבון גוגל ייעודי ואז רשמו את ההרשאות שכל אפליקציה ביקשה.
הצמד אמר שהם מצאו כי מבין 1,392 האפליקציות שבדקו, 405 נכשלו בשגיאות שונות. מבין 987 האפליקציות שניתן להתקין, החוקרים אמרו כי 889 אפליקציות דורשות גישה לנתוני משתמשים באמצעות ממשקי API של Google, ומכאן שהפעילו בקשת הרשאה בהליך ההתקנה. מבין 889 אלה, כמעט מחצית (49%), המהווים 481 אפליקציות, ביקשו אישור לתקשר עם שירותים חיצוניים, ויצרו גשר בין נתוני Drive הרגישים של המשתמש ו- Gmail לבין העולם החיצוני.
צוות המחקר אומר כי מבין 481 האפליקציות הללו שיכולות לגשר אל העולם החיצון, 103 (21% מכלל 481) יוכלו לגשת לקבצי Google Drive ולתקשר איתם, 81 (17%) יוכלו לגשת לאינטראקציות דוא"ל ו- 15 (3.0%) יכולים לגשת לאינטראקציה עם נתוני לוח השנה.
