הערוץ החשאי: אפליקציות צד ג' המחוברות לשירות הדוא"ל העסקי של גוגל

צילום מסך מgsuite.google.com. לאפליקציות אין קשר לכתבה

במחקר שהוצג בחודש שעבר אמרו חוקרי אבטחת מידע כי לאפליקציות הרשומות בשוק ה-G Suite Marketplace יש גישה לחשבונות Gmail ו-Drive של המשתמשים, אך הם גם מתקשרות עם שירותים חיצוניים שלא נחשפו בפני המשתמש. עובדה היוצרת הזדמנות לגניבת נתונים מחשבונות Google.

המחקר, שבוצע על ידי ארווין רייס ומיכאל לק מ-Two Six Labs, ניתח את ההרשאות שביקשו אפליקציות צד שלישי בגוגל הרשומות בשוק G Suite Marketplace. ריי ולק אמרו כי השתמשו בסקריפט אוטומטי כדי להתקין את כל 1,392 האפליקציות הרשומות בשוק ה- G Suite Market ב- 2 בינואר 2020, על חשבון גוגל ייעודי ואז רשמו את ההרשאות שכל אפליקציה ביקשה.

הצמד אמר שהם מצאו כי מבין 1,392 האפליקציות שבדקו, 405 נכשלו בשגיאות שונות. מבין 987 האפליקציות שניתן להתקין, החוקרים אמרו כי 889 אפליקציות דורשות גישה לנתוני משתמשים באמצעות ממשקי API של Google, ומכאן שהפעילו בקשת הרשאה בהליך ההתקנה. מבין 889 אלה, כמעט מחצית (49%), המהווים 481 אפליקציות, ביקשו אישור לתקשר עם שירותים חיצוניים, ויצרו גשר בין נתוני Drive הרגישים של המשתמש ו- Gmail לבין העולם החיצוני.

צוות המחקר אומר כי מבין 481 האפליקציות הללו שיכולות לגשר אל העולם החיצון, 103 (21% מכלל 481) יוכלו לגשת לקבצי Google Drive ולתקשר איתם, 81 (17%) יוכלו לגשת לאינטראקציות דוא"ל ו- 15 (3.0%) יכולים לגשת לאינטראקציה עם נתוני לוח השנה.

אולי יעניין אותך גם

הקרב על נשיאות איראן: אחמדיניג׳אד מלכלך על המודיעין האיראני

מדוע אחמדיניג'אד מלכלך על המודיעין האיראני? ובכן, כי חסמו את דרכו להבחר פעם נוספת כנשיא איראן. ד״ר רז צימט, מומחה לפוליטיקה איראנית: ״אחמדיניג'אד פותח את הפה על המשטר מאז 2013. מהימנות דבריו מוטלת בספק״