Google का जी सूट एप्स को अनजाने में बाहरी सेवाओं के साथ जी-ड्राइव और जीमेल डेटा साझा करना संभव है?

Google डॉक्स में शब्द गणना

Google का ऐप इकोसिस्टम सुरक्षित, भरोसेमंद और सत्यापित माना जाता है। हालाँकि, कुछ सुरक्षा शोधकर्ताओं ने बड़ी संख्या में ऐप्स के बारे में कुछ चिंताएँ उठाई हैं जी सूट मार्केटप्लेस । शोधकर्ताओं का दावा है कि कई ऐप्स के पास जीमेल और ड्राइव अकाउंट तक पहुंच है। जबकि यह समझ में आता है, कई ऐप अघोषित बाहरी सेवाओं के साथ भी संवाद करते हैं। यह Google खातों से असत्यापित और अज्ञात स्थानों या संस्थाओं के लिए गुप्त डेटा पथों के लिए जोखिम भरा अवसर प्रस्तुत कर सकता है।

इरविन रेयेस और दो छह लैब्स के माइकल लैक द्वारा किए गए हालिया शोध में जी सूट मार्केटप्लेस पर सूचीबद्ध तीसरे पक्ष के Google ऐप द्वारा अनुरोधित अनुमतियों का व्यापक विश्लेषण शामिल था। दोनो का दावा है कि उन्होंने कई ऐप खोजे थे जो किसी परीक्षण Google खाते में सही तरीके से स्थापित नहीं हो पाए, जबकि बाहरी सेवाओं के साथ संवाद करने की अनुमति देने का लगभग आधा अनुरोध किया, जिससे उपयोगकर्ता के संवेदनशील ड्राइव और जीमेल डेटा और बाहरी दुनिया के बीच एक पुल बन गया। काफी कुछ ऐप्स के लिए, डेटा कनेक्शन अस्पष्ट था, और इसका कारण खुले तौर पर उल्लेख नहीं किया गया था।

कुछ Google जी सूट मार्केटप्लेस ऐप्स में विदेश, अघोषित सेवाओं के लिए संदिग्ध अनुमतियाँ अनुरोध और अस्पष्ट कनेक्शन हैं?

शोधकर्ताओं रेयेस और लैक ने कहा कि उन्होंने जी सूट मार्केटप्लेस पर सूचीबद्ध सभी 1,392 ऐप को एक परीक्षण Google खाते पर स्थापित करने के लिए एक स्वचालित स्क्रिप्ट का उपयोग किया। वे अनुमतियाँ रिकॉर्ड करने के लिए आगे बढ़े, जिनमें से प्रत्येक ऐप ने अनुरोध किया था। जिन 1,392 ऐप का उन्होंने परीक्षण किया, उनमें से 405 कई त्रुटियों के साथ विफल रहे। शेष 987 ऐप जो इंस्टॉल किए जा सकते हैं, उनमें से 889 ऐप को Google API के माध्यम से उपयोगकर्ता डेटा तक पहुंच की आवश्यकता होती है। जोड़ने की आवश्यकता नहीं है, इसने एक अनुमति अनुरोध को ट्रिगर किया जो कि अधिकांश उपयोगकर्ता आमतौर पर अनुदान देते हैं।

यह ध्यान देने योग्य है कि जी सूट मार्केटप्लेस के लगभग आधे या 481 ऐप ने बाहरी सेवाओं के साथ संवाद करने की अनुमति का अनुरोध किया है। यह अनिवार्य रूप से उपयोगकर्ता के संवेदनशील ड्राइव और जीमेल डेटा और सेवाओं के बीच एक आभासी पुल के निर्माण की अनुमति देता है जो Google के पोर्टफोलियो के बाहर थे। इन 481 ऐप्स में से, 21 प्रतिशत (103 ऐप) Google ड्राइव फ़ाइलों के साथ एक्सेस और इंटरैक्ट कर सकते थे, 17 प्रतिशत (81 ऐप) ईमेल इनबॉक्स के साथ एक्सेस और इंटरैक्ट कर सकते थे, और 3 प्रतिशत (15 ऐप) कैलेंडर डेटा के साथ एक्सेस और इंटरैक्ट कर सकते थे।

जी सुइट मार्केटप्लेस के लिए प्राइम किया गया #privacy स्कैंडल, शोधकर्ताओं ने जी सूट एप्स को चेतावनी दी है कि डिस्क और जीमेल डेटा तक पहुंच है जो अज्ञात बाहरी सेवाओं के साथ संचार करते हुए पाए गए। https://t.co/gIWnI3VVNx के जरिए @AlisterBrenton #Security #infosec pic.twitter.com/bkeGZYBfVv

- एलिस्टर ब्रेंटन (@AlisterBrenton) 2 जून, 2020

यह जोड़ना महत्वपूर्ण है कि कई ऐड-ऑन के पास बाहरी सेवाओं को जोड़ने के लिए वैध कारण हैं। हालांकि, शोधकर्ताओं का दावा है कि उन्होंने पता लगाया कि बड़ी संख्या में ऐप्स बाहरी सेवाओं के साथ संबंध स्थापित करने का स्पष्ट कारण नहीं बताते हैं।

यह ध्यान देने योग्य है कि उपयोगकर्ताओं के पास कोई भी जानकारी नहीं है जिसमें जी सूट एप्लिकेशन बाहरी सेवा से संवाद कर रहे हों। इसके अतिरिक्त, संचार की प्रकृति और उद्देश्य के बारे में कोई जानकारी नहीं है। उपयोगकर्ताओं के पास केवल ऐप डिवेलपर्स द्वारा प्रदान किए गए ऐप डिस्क्रिप्शन और प्राइवेसी पॉलिसी स्वेच्छा से जी सूट मार्केटप्लेस ऐप और एक बाहरी सेवा के संचार के कारण, उद्देश्य और प्रकृति को समझने और समझने की है।

Google ’असत्यापित’ ऐप्स पर लगाए गए प्रतिबंधों को सख्ती से लागू नहीं करता है?

बाहरी सेवाओं के साथ संचार के अलावा, शोधकर्ताओं ने जी सूट मार्केटप्लेस की समीक्षा प्रक्रिया या इसके अभाव के संबंध में एक और समस्या का दावा किया। बाज़ार में सबमिट किए गए सभी ऐप्स के लिए समीक्षा प्रक्रिया अनिवार्य है। API कॉल करने वाले ऐप्स के लिए यह प्रक्रिया और भी अधिक कठोर और लंबी हो जाती है, जिसे Google या तो संवेदनशील या प्रतिबंधित के रूप में वर्गीकृत करता है।

संवेदनशील एपीआई कॉल करने वाले ऐप्स की समीक्षा प्रक्रिया 3 से 5 दिनों तक हो सकती है। इस बीच, ऐसे ऐप्स जो 'प्रतिबंधित' एपीआई कॉल करते हैं या उपयोगकर्ता के जीमेल या Google ड्राइव डेटा के साथ बातचीत करते हैं, उन्हें 4 से 8 सप्ताह के बीच कहीं भी ले जा सकते हैं।

इतनी लंबी समीक्षा और अनुमोदन प्रक्रिया को अस्थायी रूप से दरकिनार करने के लिए, Google ऐप डेवलपर्स को जी सुइट स्थान पर 'असत्यापित' के रूप में ऐप्स को सूचीबद्ध करने की अनुमति देता है। Google केवल एक पूर्ण-पृष्ठ संदेश के रूप में एक चेतावनी लेबल को थप्पड़ मारता है जो उपयोगकर्ताओं को संभावित रूप से खतरनाक ऐप को स्थापित करने के खतरे की चेतावनी देता है जो अभी तक इसकी समीक्षा प्रक्रिया से नहीं गुजरे हैं। एक और प्रतिबंध है जो 'असत्यापित' जी सूट ऐप्स को सिर्फ 100 इंस्टॉल तक सीमित करने का प्रयास करता है।

-सर्चर्स ने 1,392 जी सूट के थर्ड-पार्टी ऐप्स का विश्लेषण किया
-उन्होंने बाहरी सेवाओं से जुड़ते हुए 481 ऐप ढूंढे
- इनमें से 103 में गूगल ड्राइव की पूरी सुविधा थी
- 81 में पूरा जीमेल एक्सेस था
- 15 में पूर्ण Google कैलेंडर पहुंच थी pic.twitter.com/NJzbUShzPy

- कैटलिन सिंपेनु (@campuscodi) 2 जून, 2020

हालांकि, शोधकर्ताओं का दावा है कि उन्होंने पाया कि कई असत्यापित ऐप ने 100 से अधिक उपयोगकर्ताओं को प्राप्त किया था क्योंकि वे समीक्षा किए जाने का इंतजार कर रहे थे। इससे दृढ़ता से पता चलता है कि Google जानबूझकर '100 नए उपयोगकर्ताओं' को सीमित कर रहा है।

इस तरह की प्रथाओं या नीतियों के खराब कार्यान्वयन से Google उपयोगकर्ताओं के डेटा एकत्र करने के एकमात्र उद्देश्य के साथ स्टोर पर अपलोड किए जा रहे दुर्भावनापूर्ण ऐप्स को आसानी से जन्म दिया जा सकता है। Google के G सुइट पैकेज के अधिकांश उपयोगकर्ता एंटरप्राइज़ सेक्टर से हैं। यह सोशल इंजीनियरिंग हैक और इसी तरह के हमलों के जोखिम को काफी बढ़ाता है।

शोधकर्ताओं का सुझाव है कि इस प्रक्रिया को स्थापित करने या स्थापित करने की अनुमति देने से उस समय की आवश्यकता होती है जब ऐप को वास्तव में पहली बार विशेष अनुमति की आवश्यकता होती है। Reyes और Lack का दावा है, इंस्टॉल-टाइम परमिशन से लेकर रन-टाइम परमिशन तक बढ़ते हुए, संदिग्ध ऐप्स को नोटिस करने वाले उपयोगकर्ताओं के अवसरों में काफी सुधार होता है और बैकग्राउंड या अनुमति देने से इनकार करते हैं।