Investigadores revelan problemas de privacidad en G Suite Marketplace

En una investigación presentada el mes pasado, investigadores de seguridad señalaron problemas de privacidad en G Suite Marketplace.  Afirman que muchas de las aplicaciones que figuran en G Suite Marketplace tienen acceso a las cuentas de Gmail y Drive de los usuarios. Además, también se comunican con servicios externos no revelados, creando la oportunidad para la filtración de datos secretos de las cuentas de Google.

La investigación fue realizada por Irwin Reyes y Michael Lack de Two Six Labs. Dicha investigación analizó los permisos solicitados por las aplicaciones de terceros de Google que figuran en el G Suite Marketplace.

Los investigadores dijeron que usaron un script automatizado para instalar todas las 1,392 aplicaciones presentes en G Suite Marketplace el 2 de enero de 2020.  Esto en una cuenta de prueba de Google y luego registraron los permisos que cada aplicación solicitó.

El dúo dijo que encontraron que de las 1,392 aplicaciones que probaron, 405 fallaron con varios errores. De las 987 aplicaciones que podrían instalarse, los investigadores dijeron que 889 aplicaciones requerían acceso a los datos del usuario. Esto a través de las API de Google y, por lo tanto, activaron una solicitud de permiso.

Permisos

De estos 889, casi la mitad (49%), que representan 481 aplicaciones, solicitaron permiso para comunicarse con servicios externos. Esto crea un puente entre los datos confidenciales de Drive y Gmail de un usuario y el mundo exterior.

Según los investigadores, estas 481 aplicaciones que podrían conectarse con el mundo exterior. De estas, 103 (21% de 481) podrían acceder e interactuar con los archivos de Google Drive. 81 (17%) podrían acceder e interactuar con las bandejas de entrada de correo electrónico. Finalmente, el 15 (3.0%) podría acceder e interactuar con los datos del calendario.

Sin embargo, aunque algunos complementos tenían razones legítimas para conectarse a servicios externos, para algunos, esto no estaba claro. De hecho, en la mayoría de los casos, los investigadores dijeron que esto no estaba muy claro.

Reyes y Lack dicen que las descripciones de las aplicaciones y las políticas de privacidad son proporcionadas voluntariamente por los desarrolladores de la aplicación. Empero, los usuarios no tienen idea de a qué servicio externo se pueden comunicar las aplicaciones de G Suite o la naturaleza de la comunicación.

Las aplicaciones no verificadas representan un peligro para los usuarios de Google

Pero los problemas no terminan aquí. Los investigadores dijeron que también detectaron un segundo problema con el proceso de revisión de G Suite Marketplace.

Este proceso de revisión es obligatorio para todas las aplicaciones enviadas al mercado. Esto especialmente para las aplicaciones que realizan llamadas API que Google clasifica como sensibles o restringidas.

La revisión puede variar de 3 a 5 días para aplicaciones que realizan llamadas API “sensibles”. De 4 a 8 semanas para aplicaciones que realizan llamadas API “restringidas” que interactúan con los datos de Gmail o Google Drive de un usuario.

Debido a que esto crea largos tiempos de respuesta para las aplicaciones enviadas para su revisión, Google permite a los desarrolladores de aplicaciones enumerar las aplicaciones como “no verificadas” en el G Suite Marketplace.

Para reducir el peligro de enumerar aplicaciones “no verificadas”, cuando los usuarios intentan instalar cualquiera de estas aplicaciones, Google también muestra una advertencia. Muestra un mensaje de página completa que advierten a los usuarios del peligro de instalar una aplicación potencialmente peligrosa. Aplicación que aún no ha pasado por su proceso de revisión.

Además, como precaución secundaria, Google también limita las aplicaciones de G Suite “no verificadas” a no más de 100 instalaciones. Esto hasta que pasen el proceso de revisión.

Sin embargo, el equipo de investigación dice que durante un segundo análisis del G Suite Marketplace que llevaron a cabo el 18 de enero de 2020. Es decir, 16 días después de su investigación inicial, descubrieron que aplicaciones no verificadas habían ganado más de 100 usuarios mientras esperaban ser revisadas. Esto sugiere que Google no estaba aplicando su límite estricto de “100 nuevos usuarios”.

Los investigadores recomiendan cambiar los permisos de tiempo de instalación

Los investigadores argumentan que muchos de los mismos problemas que plagaron el ecosistema de aplicaciones de terceros de Facebook ahora impactan en G Suite Marketplace de Google. Esto pronto puede provocar que se carguen aplicaciones maliciosas en la tienda con el único propósito de recopilar datos de los usuarios de Google. La mayoría de estos son usuarios empresariales del paquete G Suite de Google).

Reyes y Lack dicen que una forma de abordar este problema es si Google cambia de solicitar permisos a los usuarios cuando se instala la aplicación. Deberían hacerlo cuando se usa por primera vez.

Pasar de los permisos de tiempo de instalación a los permisos de tiempo de ejecución tiene un historial probado. Esto para mejorar la capacidad de los usuarios de detectar aplicaciones intrusivas. Además, es una técnica que Google mismo también empleó anteriormente para mejorar la seguridad del ecosistema de aplicaciones de Android.

La investigación del equipo se presentó el mes pasado en el 41º Simposio IEEE sobre talleres de seguridad y privacidad. Un borrador de su trabajo de investigación, titulado “Privacidad de API: una mirada a los permisos y políticas del mercado de G Suite“, está disponible en formato PDF aquí.