Wörter zählen in Google Text & Tabellen
Das App-Ökosystem von Google gilt als sicher, vertrauenswürdig und verifiziert. Einige Sicherheitsforscher haben jedoch einige Bedenken hinsichtlich einer großen Anzahl von Apps aus dem Internet geäußert G Suite Marktplatz . Die Forscher behaupten, dass mehrere Apps Zugriff auf Google Mail- und Drive-Konten haben. Obwohl dies verständlich ist, kommunizieren viele der Apps auch mit nicht genannten externen Diensten. Dies könnte eine riskante Chance für geheime Datenpfade von Google-Konten zu nicht verifizierten und nicht genannten Standorten oder Entitäten darstellen.
Jüngste Untersuchungen von Irwin Reyes und Michael Lack von Two Six Labs umfassten eine umfassende Analyse der Berechtigungen, die von Google-Apps von Drittanbietern angefordert wurden, die auf dem G Suite Marketplace aufgeführt sind. Das Duo behauptet, es habe festgestellt, dass viele der Apps in einem Test-Google-Konto nicht ordnungsgemäß installiert wurden, während fast die Hälfte um Erlaubnis zur Kommunikation mit externen Diensten bat, wodurch eine Brücke zwischen den sensiblen Drive- und Google Mail-Daten eines Benutzers und der Außenwelt geschlagen wurde. Bei einigen Apps war die Datenverbindung unklar und die Gründe wurden nicht offen genannt.
Einige Google G Suite Marketplace-Apps haben fragwürdige Berechtigungsanforderungen und eine unklare Verbindung zu externen, nicht genannten Diensten?
Die Forscher Reyes und Lack gaben an, ein automatisiertes Skript verwendet zu haben, um alle 1.392 auf dem G Suite Marketplace aufgelisteten Apps in einem Test-Google-Konto zu installieren. Sie zeichneten die Berechtigungen auf, die für jede der Apps angefordert wurden. Von den 1.392 getesteten Apps scheiterten 405 mit zahlreichen Fehlern. Von den verbleibenden 987 Apps, die installiert werden konnten, benötigten 889 Apps Zugriff auf Benutzerdaten über Google APIs. Dies löste natürlich eine Berechtigungsanforderung aus, die die Mehrheit der Benutzer normalerweise erteilt.
Es ist zu beachten, dass fast die Hälfte oder 481 Apps vom G Suite Marketplace die Erlaubnis zur Kommunikation mit externen Diensten angefordert haben. Dies ermöglichte im Wesentlichen die Schaffung einer virtuellen Brücke zwischen den sensiblen Drive- und Google Mail-Daten und -Diensten eines Nutzers, die sich außerhalb des Google-Portfolios befanden. Von diesen 481 Apps konnten 21 Prozent (103 Apps) auf Google Drive-Dateien zugreifen und mit diesen interagieren, 17 Prozent (81 Apps) konnten auf E-Mail-Posteingänge zugreifen und mit diesen interagieren, und 3 Prozent (15 Apps) konnten auf Kalenderdaten zugreifen und mit diesen interagieren.
G Suite Marketplace vorbereitet für a #Privatsphäre Skandal, warnen Forscher G Suite-Apps, die Zugriff auf Drive- und Google Mail-Daten haben, die mit unbekannten externen Diensten kommunizieren. https://t.co/gIWnI3VVNx über @AlisterBrenton #Sicherheit #infosec pic.twitter.com/bkeGZYBfVv
- Alister Brenton (@AlisterBrenton) 2. Juni 2020
Es ist wichtig hinzuzufügen, dass mehrere Add-Ons berechtigte Gründe haben, eine Verbindung zu sicheren externen Diensten herzustellen. Die Forscher behaupten jedoch, sie hätten festgestellt, dass eine unangenehm große Anzahl von Apps keinen klaren Grund zu haben schien, eine Verbindung mit externen Diensten herzustellen.
Es ist zu beachten, dass die Benutzer keinen Einblick haben, über welchen externen Dienst die G Suite-Apps möglicherweise kommunizieren. Darüber hinaus gibt es keine Informationen über Art und Zweck der Kommunikation. Benutzer haben nur App-Beschreibungen und Datenschutzrichtlinien, die von den App-Entwicklern freiwillig zur Verfügung gestellt werden, um den Grund, den Zweck und die Art der Kommunikation einer G Suite Marketplace-App und eines externen Dienstes zu verstehen.
Google implementiert keine strengen Einschränkungen für 'nicht verifizierte' Apps?
Abgesehen von der Kommunikation mit externen Diensten gaben die Forscher an, dass es noch ein Problem mit dem Überprüfungsprozess des G Suite Marketplace oder dessen Fehlen gibt. Der Überprüfungsprozess ist für alle auf dem Markt eingereichten Apps obligatorisch. Der Prozess wird für Apps, die API-Aufrufe ausführen, die Google als vertraulich oder eingeschränkt einstuft, noch strenger und langwieriger.
Der Überprüfungsprozess für Apps, die sensible API-Aufrufe ausführen, kann zwischen 3 und 5 Tagen liegen. In der Zwischenzeit können Apps, die 'eingeschränkte' API-Aufrufe tätigen oder mit Google Mail- oder Google Drive-Daten eines Nutzers interagieren, zwischen 4 und 8 Wochen dauern.
Um einen so langwierigen Überprüfungs- und Genehmigungsprozess vorübergehend zu umgehen, können App-Entwickler bei Google Apps auf dem G Suite Marketplace als 'nicht überprüft' auflisten. Google schlägt lediglich ein Warnschild in Form einer ganzseitigen Nachricht, die Benutzer vor der Gefahr warnt, eine potenziell gefährliche App zu installieren, die ihren Überprüfungsprozess noch nicht durchlaufen hat. Es gibt noch eine weitere Einschränkung, die versucht, 'nicht verifizierte' G Suite-Apps auf nur 100 Installationen zu beschränken.
-Forscher analysierten 1.392 G Suite-Apps von Drittanbietern
- Sie haben 481 Apps gefunden, die eine Verbindung zu externen Diensten herstellen
- 103 davon hatten vollen Zugriff auf Google Drive
- 81 hatten vollen Google Mail-Zugriff
- 15 hatten vollen Zugriff auf Google Kalender pic.twitter.com/NJzbUShzPy- Catalin Cimpanu (@campuscodi) 2. Juni 2020
Forscher behaupten jedoch, sie hätten herausgefunden, dass viele nicht verifizierte Apps mehr als 100 Benutzer gewonnen hatten, als sie auf eine Überprüfung warteten. Dies deutet stark darauf hin, dass Google das harte Limit „100 neue Nutzer“ absichtlich lockert.
Solche Praktiken oder eine schlechte Implementierung von Richtlinien können leicht dazu führen, dass schädliche Apps in den Store hochgeladen werden, um ausschließlich Daten von Google-Nutzern zu sammeln. Die Mehrheit der Nutzer des Google G Suite-Pakets stammt aus dem Unternehmenssektor. Dies erhöht das Risiko von Social-Engineering-Hacks und ähnlichen Angriffen erheblich.
Die Forscher schlagen vor, den Prozess oder das Einholen und Erteilen von Berechtigungen aus dem Installationsverfahren auf den Zeitpunkt zu verschieben, zu dem die Apps zum ersten Mal tatsächlich eine bestimmte Berechtigung benötigen. Die Behauptung von Reyes und Lack, die von Installationszeitberechtigungen zu Laufzeitberechtigungen übergeht, verbessert die Wahrscheinlichkeit, dass Benutzer verdächtige Apps bemerken und die Erteilung von Berechtigungen zurückverfolgen oder verweigern, erheblich.
Stichworte Google
![[UPDATE] Die Datei konnte in der geschützten Ansicht nicht geöffnet werden](https://jf-balio.pt/img/how-tos/02/file-couldn-t-open-protected-view.jpeg)
