馃槑 60% Descuento:  Curso de Hacking Redes Inal谩mbricas >> Ver M谩s

Investigadores revelan problemas de privacidad en G Suite Marketplace

En una investigaci贸n presentada el mes pasado, investigadores de seguridad se帽alaron problemas de privacidad en G Suite Marketplace. 聽Afirman que muchas de las aplicaciones que figuran en G Suite Marketplace tienen acceso a las cuentas de Gmail y Drive de los usuarios. Adem谩s, tambi茅n se comunican con servicios externos no revelados, creando la oportunidad para la filtraci贸n de datos secretos de las cuentas de Google.

La investigaci贸n fue realizada por Irwin Reyes y Michael Lack de Two Six Labs. Dicha investigaci贸n analiz贸 los permisos solicitados por las aplicaciones de terceros de Google que figuran en el G Suite Marketplace.

Los investigadores dijeron que usaron un script automatizado para instalar todas las 1,392 aplicaciones presentes en G Suite Marketplace el 2 de enero de 2020. 聽Esto en una cuenta de prueba de Google y luego registraron los permisos que cada aplicaci贸n solicit贸.

El d煤o dijo que encontraron que de las 1,392 aplicaciones que probaron, 405 fallaron con varios errores. De las 987 aplicaciones que podr铆an instalarse, los investigadores dijeron que 889 aplicaciones requer铆an acceso a los datos del usuario. Esto a trav茅s de las API de Google y, por lo tanto, activaron una solicitud de permiso.

Permisos

De estos 889, casi la mitad (49%), que representan 481 aplicaciones, solicitaron permiso para comunicarse con servicios externos. Esto crea un puente entre los datos confidenciales de Drive y Gmail de un usuario y el mundo exterior.

Seg煤n los investigadores, estas 481 aplicaciones que podr铆an conectarse con el mundo exterior. De estas, 103 (21% de 481) podr铆an acceder e interactuar con los archivos de Google Drive. 81 (17%) podr铆an acceder e interactuar con las bandejas de entrada de correo electr贸nico. Finalmente, el 15 (3.0%) podr铆a acceder e interactuar con los datos del calendario.

Sin embargo, aunque algunos complementos ten铆an razones leg铆timas para conectarse a servicios externos, para algunos, esto no estaba claro.聽De hecho, en la mayor铆a de los casos, los investigadores dijeron que esto no estaba muy claro.

Reyes y Lack dicen que las descripciones de las aplicaciones y las pol铆ticas de privacidad son proporcionadas voluntariamente por los desarrolladores de la aplicaci贸n. Empero, los usuarios no tienen idea de a qu茅 servicio externo se pueden comunicar las aplicaciones de G Suite o la naturaleza de la comunicaci贸n.

Las aplicaciones no verificadas representan un peligro para los usuarios de Google

Pero los problemas no terminan aqu铆.聽Los investigadores dijeron que tambi茅n detectaron un segundo problema con el proceso de revisi贸n de G Suite Marketplace.

Este proceso de revisi贸n es obligatorio para todas las aplicaciones enviadas al mercado. Esto especialmente para las aplicaciones que realizan llamadas API que Google clasifica como sensibles o restringidas.

La revisi贸n puede variar de 3 a 5 d铆as para aplicaciones que realizan llamadas API “sensibles”. De 4 a 8 semanas para aplicaciones que realizan llamadas API “restringidas” que interact煤an con los datos de Gmail o Google Drive de un usuario.

Debido a que esto crea largos tiempos de respuesta para las aplicaciones enviadas para su revisi贸n, Google permite a los desarrolladores de aplicaciones enumerar las aplicaciones como “no verificadas” en el G Suite Marketplace.

Para reducir el peligro de enumerar aplicaciones “no verificadas”, cuando los usuarios intentan instalar cualquiera de estas aplicaciones, Google tambi茅n muestra una advertencia. Muestra un mensaje de p谩gina completa que advierten a los usuarios del peligro de instalar una aplicaci贸n potencialmente peligrosa. Aplicaci贸n que a煤n no ha pasado por su proceso de revisi贸n.

Adem谩s, como precauci贸n secundaria, Google tambi茅n limita las aplicaciones de G Suite “no verificadas” a no m谩s de 100 instalaciones. Esto hasta que pasen el proceso de revisi贸n.

Sin embargo, el equipo de investigaci贸n dice que durante un segundo an谩lisis del G Suite Marketplace que llevaron a cabo el 18 de enero de 2020. Es decir, 16 d铆as despu茅s de su investigaci贸n inicial, descubrieron que aplicaciones no verificadas hab铆an ganado m谩s de 100 usuarios mientras esperaban ser revisadas. Esto sugiere que Google no estaba aplicando su l铆mite estricto de “100 nuevos usuarios”.

Los investigadores recomiendan cambiar los permisos de tiempo de instalaci贸n

Los investigadores argumentan que muchos de los mismos problemas que plagaron el ecosistema de aplicaciones de terceros de Facebook ahora impactan en G Suite Marketplace de Google. Esto pronto puede provocar que se carguen aplicaciones maliciosas en la tienda con el 煤nico prop贸sito de recopilar datos de los usuarios de Google. La mayor铆a de estos son usuarios empresariales del paquete G Suite de Google).

Reyes y Lack dicen que una forma de abordar este problema es si Google cambia de solicitar permisos a los usuarios cuando se instala la aplicaci贸n. Deber铆an hacerlo cuando se usa por primera vez.

Pasar de los permisos de tiempo de instalaci贸n a los permisos de tiempo de ejecuci贸n tiene un historial probado. Esto para mejorar la capacidad de los usuarios de detectar aplicaciones intrusivas. Adem谩s, es una t茅cnica que Google mismo tambi茅n emple贸 anteriormente para mejorar la seguridad del ecosistema de aplicaciones de Android.

La investigaci贸n del equipo se present贸 el mes pasado en el 41潞 Simposio IEEE sobre talleres de seguridad y privacidad.聽Un borrador de su trabajo de investigaci贸n, titulado “Privacidad de API: una mirada a los permisos y pol铆ticas del mercado de G Suite“, est谩 disponible en formato PDF聽aqu铆.

Deja un comentario

Adquiere tu Membres铆a Anual Wiser

Adquiere tu Membres铆a Anual Wiser y adquiere grandes beneficios

M谩s informaci贸n