Приложения G Suite Marketplace передают пользовательские данные сторонним сервисам

Специалисты Ирвин Рейес (Irwin Reyes) и Майкл Лэк (Michael Lack) из ИБ-компании Two Six Labs сообщили, что многие приложения интернет-магазина G Suite Marketplace не только имеют доступ к учетным записям пользователей Google Gmail и Google Диск, но также обмениваются данными с неизвестными внешними сервисами.

В рамках исследования эксперты проанализировали разрешения, запрошенные приложениями из G Suite Marketplace. Специалисты проанализировали 1392 приложения с G Suite Marketplace и запрашиваемые ими разрешения.

Из 1392 проанализированных приложений в 405 были обнаружены различные проблемы при установке. Из 987 установленных приложений 889 программ запрашивали доступ к пользовательским данным через API Google.

Из 889 программ почти половина (481) запрашивали разрешение на связь с внешними сервисами для передачи конфиденциальных данных пользователей Google Диск и Gmail. Среди 481 приложения, которые могут взаимодействовать с внешними сервисами, 103 (21%) могли получать доступ к файлам Google Диск, 81 (17%) могли получать доступ к почтовым ящикам электронной почты, а 15 (3,0%) могли взаимодействовать с данными календаря.

По словам исследователей, помимо описаний приложений и политик конфиденциальности, предоставляемых разработчиками приложений, пользователи не имеют никакого представления о том, с какими внешними сервисами могут взаимодействовать приложения G Suite.

Специалисты также обнаружили другую проблему в G Suite Marketplace, связанную с процессом обзора приложений. Данный процесс является обязательным для всех программ и может длиться от 3 до 5 дней для приложений, которые совершают «конфиденциальные» вызовы API, или от 4 до 8 недель для приложений, которые делают «ограниченные» вызовы API и взаимодействуют с данными Gmail или Google Диск.

Поскольку это создает длительные сроки обработки для приложений, представленных на рассмотрение, Google позволяет разработчикам приложений указывать приложения как «непроверенные» на G Suite Marketplace и уведомляет пользователей об опасности установки потенциально опасного приложения, которое еще не прошло процесс проверки. В качестве дополнительной меры предосторожности Google также ограничивает число «непроверенных» приложений G Suite не более чем 100 установками, пока они не пройдут процесс проверки.

По словам экспертов, во время второго сканирования G Suite Marketplace они обнаружили, что многие непроверенные приложения были установлены более 100 раз.