Googleドキュメントで単語数
Googleのアプリエコシステムは、安全で信頼でき、検証済みであると見なされています。ただし、セキュリティ研究者のカップルは、からの多数のアプリについていくつかの懸念を提起しました GSuiteマーケットプレイス 。研究者たちは、いくつかのアプリがGmailとドライブのアカウントにアクセスできると主張しています。これは理解できますが、アプリの多くは非公開の外部サービスとも通信します。これは、Googleアカウントから未確認および非公開の場所またはエンティティへの秘密のデータ経路に危険な機会をもたらす可能性があります。
Two SixLabsのIrwinReyesとMichaelLackが実施した最近の調査では、G SuiteMarketplaceにリストされているサードパーティのGoogleアプリから要求された権限を詳細に分析しました。デュオは、アプリの多くがテスト用のGoogleアカウントに正しくインストールされなかったことを発見したと主張していますが、ほぼ半数が外部サービスとの通信許可を要求し、ユーザーの機密性の高いドライブとGmailデータと外界との間に架け橋を作りました。かなりの数のアプリで、データ接続が不明確であり、理由が公然と言及されていませんでした。
一部のGoogleG Suite Marketplaceアプリには、疑わしい権限リクエストがあり、外部の非公開サービスへの接続が不明確ですか?
ReyesとLackの研究者は、自動化されたスクリプトを使用して、G SuiteMarketplaceにリストされている1,392個のアプリすべてをテスト用のGoogleアカウントにインストールしたと述べました。彼らは、各アプリが要求した権限を記録し始めました。彼らがテストした1,392個のアプリのうち、405個が多数のエラーで失敗しました。インストール可能な残りの987個のアプリのうち、889個のアプリがGoogleAPIを介してユーザーデータにアクセスする必要がありました。言うまでもなく、これにより、大多数のユーザーが通常付与する許可要求がトリガーされました。
G Suite Marketplaceのほぼ半数または481個のアプリが、外部サービスとの通信の許可を要求したことに注意してください。これにより、基本的に、ユーザーの機密性の高いドライブと、Googleのポートフォリオ外にあるGmailのデータやサービスとの間に仮想ブリッジを作成することができました。これらの481個のアプリのうち、21%(103個のアプリ)がGoogleドライブファイルにアクセスして操作でき、17%(81個のアプリ)がメールの受信トレイにアクセスして操作でき、3%(15個のアプリ)がカレンダーデータにアクセスして操作できました。
G Suite Marketplaceは、 #プライバシー スキャンダル、研究者は、ドライブとGmailのデータにアクセスできるG Suiteアプリが、非公開の外部サービスと通信していることが判明したと警告しています。 https://t.co/gIWnI3VVNx 経由 @AlisterBrenton #security #infosec pic.twitter.com/bkeGZYBfVv
—アリスターブレントン(@AlisterBrenton) 2020年6月2日
いくつかのアドオンには、安全な外部サービスに接続する正当な理由があることを追加することが重要です。しかし、研究者たちは、不快なほど多数のアプリが外部サービスとの接続を確立する明確な理由を持っていないように思われることを発見したと主張しています。
ユーザーは、GSuiteアプリが通信している可能性のある外部サービスについての洞察を持っていないことに注意してください。さらに、コミュニケーションの性質と目的に関する情報はありません。ユーザーは、G Suite Marketplaceアプリと外部サービスの通信の理由、目的、性質を理解するために、アプリ開発者が自発的に提供するアプリの説明とプライバシーポリシーのみを持っています。
Googleは、「未確認」のアプリに課せられた制限を厳密に実装していませんか?
外部サービスとのコミュニケーションとは別に、研究者たちは、G SuiteMarketplaceのレビュープロセスまたはその欠如に関する問題がもう1つあると主張しました。レビュープロセスは、マーケットプレイスに送信されるすべてのアプリに必須です。 Googleが機密または制限付きとして分類するAPI呼び出しを行うアプリの場合、プロセスはさらに厳しく、長くなります。
機密性の高いAPI呼び出しを行うアプリのレビュープロセスは、3〜5日です。一方、「制限付き」API呼び出しを行ったり、ユーザーのGmailやGoogleドライブのデータを操作したりするアプリは、4〜8週間かかる場合があります。
このような長いレビューと承認プロセスを一時的に回避するために、Googleではアプリ開発者がG SuiteMarketplaceでアプリを「未確認」としてリストすることを許可しています。 Googleは、レビュープロセスをまだ通過していない潜在的に危険なアプリをインストールする危険性をユーザーに警告するフルページメッセージの形式で警告ラベルをたたくだけです。 「未確認」のGSuiteアプリを100回のインストールに制限しようとするもう1つの制限があります。
-研究者は1,392個のGSuiteサードパーティアプリを分析しました
-外部サービスに接続している481個のアプリが見つかりました
–これらのうち103は完全なGoogleドライブアクセスを持っていました
–81はGmailに完全にアクセスできました
–15人はGoogleカレンダーに完全にアクセスできました pic.twitter.com/NJzbUShzPy-カタリンシンパヌ(@campuscodi) 2020年6月2日
ただし、研究者は、未確認のアプリの多くが、レビューを待っている間に100人を超えるユーザーを獲得したことを発見したと主張しています。これは、Googleが「100人の新規ユーザー」のハード制限を意図的に緩和していることを強く示唆しています。
このような慣行やポリシーの不適切な実装により、Googleユーザーからデータを収集することのみを目的として、悪意のあるアプリがストアにアップロードされる可能性があります。 GoogleのGSuiteパッケージユーザーの大多数はエンタープライズセクターから来ています。これにより、ソーシャルエンジニアリングのハッキングや同様の攻撃のリスクが大幅に高まります。
研究者は、プロセスを移動するか、インストール手順からアプリが実際に初めて特定の許可を必要とするまで許可を求めて付与することを提案しています。 Reyes and Lackの主張は、インストール時のアクセス許可から実行時のアクセス許可に移行することで、ユーザーが疑わしいアプリに気づき、アクセス許可の付与をバックトラックまたは拒否する可能性を大幅に向上させます。
タグ グーグル
![修正: Windows の [スタート] メニューが自動的にデフォルトにリセットされる](https://jf-balio.pt/img/windows-troubleshooting/DD/fix-windows-start-menu-resets-to-default-automatically-1.jpg)