G Suite-apps van Google communiceren en mogelijk G-Drive- en Gmail-gegevens delen met niet-openbaar gemaakte externe services?

Het app-ecosysteem van Google wordt als veilig, betrouwbaar en geverifieerd beschouwd. Een aantal beveiligingsonderzoekers heeft echter een aantal zorgen geuit over een groot aantal apps uit de G Suite Marketplace. De onderzoekers beweren dat verschillende apps toegang hebben tot Gmail- en Drive-accounts. Hoewel dit begrijpelijk is, communiceren veel van de apps ook met niet-openbaar gemaakte externe services. Dit zou een riskante kans kunnen zijn voor clandestiene gegevenspaden van Google-accounts naar niet-geverifieerde en niet-openbaar gemaakte locaties of entiteiten.

Recent onderzoek, uitgevoerd door Irwin Reyes en Michael Lack van Two Six Labs, omvatte een uitgebreide analyse van de toestemmingen die zijn aangevraagd door Google-apps van derden die worden vermeld op de G Suite Marketplace. Het duo beweert dat ze ontdekten dat veel van de apps niet correct konden worden geïnstalleerd op een test Google-account, terwijl bijna de helft toestemming vroeg om te communiceren met externe services, waardoor een brug werd geslagen tussen de gevoelige Drive- en Gmail-gegevens van een gebruiker en de buitenwereld. Voor nogal wat apps was de gegevensverbinding onduidelijk en werden de redenen niet openlijk genoemd.

Sommige Google G Suite Marketplace-apps hebben twijfelachtige toestemmingsverzoeken en onduidelijke verbinding met externe, niet-openbaar gemaakte services?

Onderzoekers Reyes en Lack zeiden dat ze een geautomatiseerd script hebben gebruikt om alle 1.392 apps op de G Suite Marketplace op een test Google-account te installeren. Ze gingen verder met het opnemen van de toestemmingen die elk van de apps had aangevraagd. Van de 1.392 apps die ze hebben getest, faalden 405 met talloze fouten. Van de resterende 987 apps die konden worden geïnstalleerd, hadden 889 apps toegang tot gebruikersgegevens via Google API's nodig. Onnodig toe te voegen, dit leidde tot een toestemmingsverzoek dat de meerderheid van de gebruikers gewoonlijk verleent.

Het is zorgwekkend dat bijna de helft of 481 apps van de G Suite Marketplace toestemming hebben gevraagd om te communiceren met externe services. Hierdoor kon in wezen een virtuele brug worden geslagen tussen de gevoelige gegevens en services van Drive van een gebruiker en Gmail die buiten het portfolio van Google vielen. Van deze 481 apps had 21 procent (103 apps) toegang tot en interactie met Google Drive-bestanden, 17 procent (81 apps) had toegang tot en interactie met e-mailinboxen en 3 procent (15 apps) had toegang tot en interactie met agendagegevens.

Het is belangrijk om toe te voegen dat verschillende add-ons legitieme redenen hebben om verbinding te maken met beveiligde externe services. De onderzoekers stellen echter dat ze ontdekten dat een onaangenaam groot aantal apps geen duidelijke reden leken te hebben om verbinding te maken met externe diensten.

Het is zorgwekkend dat de gebruikers geen enkel inzicht hebben in welke externe service de G Suite-apps mogelijk communiceren. Bovendien is er geen informatie over de aard en het doel van de communicatie. Gebruikers hebben alleen app-beschrijvingen en privacybeleidsregels die vrijwillig door de app-ontwikkelaars worden verstrekt om te proberen de reden, het doel en de aard van de communicatie van een G Suite Marketplace-app en een externe service te begrijpen.

Google implementeert niet strikt beperkingen die zijn opgelegd aan ‘niet-geverifieerde’ apps?

Afgezien van de communicatie met externe services, beweerden onderzoekers dat er nog een probleem is met het beoordelingsproces van de G Suite Marketplace of het ontbreken daarvan. Het beoordelingsproces is verplicht voor alle apps die op de marktplaats worden ingediend. Het proces wordt zelfs nog stringenter en langduriger voor apps die API-aanroepen doen die Google classificeert als Gevoelig of Beperkt.

Het beoordelingsproces voor apps die gevoelige API-aanroepen doen, kan variëren van 3 tot 5 dagen. Ondertussen kunnen apps die 'beperkte' API-aanroepen doen of interactie hebben met de Gmail- of Google Drive-gegevens van een gebruiker, 4 tot 8 weken duren.

Om zo'n langdurig beoordelings- en goedkeuringsproces tijdelijk te omzeilen, staat Google app-ontwikkelaars toe apps als 'niet geverifieerd' te vermelden op de G Suite Marketplace. Google slaat slechts een waarschuwingslabel in de vorm van een paginagroot bericht dat gebruikers waarschuwt voor het gevaar van het installeren van een potentieel gevaarlijke app die het beoordelingsproces nog niet heeft doorlopen. Er is nog een beperking waarmee wordt geprobeerd 'niet-geverifieerde' G Suite-apps te beperken tot slechts 100 installaties.

Onderzoekers beweren echter dat ze ontdekten dat veel niet-geverifieerde apps meer dan 100 gebruikers hadden gekregen in afwachting van beoordeling. Dit suggereert sterk dat Google opzettelijk de harde limiet van '100 nieuwe gebruikers' versoepelt.

Dergelijke praktijken of een slechte implementatie van beleid kunnen er gemakkelijk toe leiden dat kwaadwillende apps in de winkel worden geüpload met als enig doel gegevens van Google-gebruikers te verzamelen. De meerderheid van de gebruikers van het G Suite-pakket van Google komt uit de zakelijke sector. Dit verhoogt het risico op social engineering-hacks en soortgelijke aanvallen aanzienlijk.

De onderzoekers stellen voor om het proces te verplaatsen of toestemming te vragen en te verlenen vanaf de installatieprocedure tot het moment dat de apps voor de eerste keer specifieke toestemming nodig hebben. De claim van Reyes en Lack, die overgaat van toestemmingen voor installatietijd naar runtime-toestemmingen, verbetert aanzienlijk de kans dat gebruikers verdachte apps opmerken en teruggaan of weigeren toestemming te verlenen.