จำนวนคำใน Google เอกสาร
ระบบนิเวศของแอป Google ถือว่าปลอดภัยเชื่อถือได้และได้รับการยืนยัน อย่างไรก็ตามนักวิจัยด้านความปลอดภัยสองคนได้แจ้งข้อกังวลเล็กน้อยเกี่ยวกับแอพจำนวนมากจากไฟล์ G Suite Marketplace . นักวิจัยอ้างว่าหลายแอปสามารถเข้าถึงบัญชี Gmail และไดรฟ์ แม้ว่าสิ่งนี้จะเข้าใจได้ แต่แอปจำนวนมากยังสื่อสารกับบริการภายนอกที่ไม่เปิดเผย ซึ่งอาจเป็นโอกาสที่มีความเสี่ยงสำหรับเส้นทางข้อมูลที่เป็นความลับจากบัญชี Google ไปยังสถานที่หรือหน่วยงานที่ไม่ได้รับการยืนยันและไม่เปิดเผย
การวิจัยล่าสุดที่ดำเนินการโดย Irwin Reyes และ Michael Lack จาก Two Six Labs เกี่ยวข้องกับการวิเคราะห์สิทธิ์ที่ร้องขอโดยแอป Google บุคคลที่สามที่แสดงอยู่ใน G Suite Marketplace ทั้งคู่อ้างว่าพวกเขาพบว่าแอปจำนวนมากไม่สามารถติดตั้งได้อย่างถูกต้องในบัญชี Google ทดสอบในขณะที่เกือบครึ่งหนึ่งขออนุญาตสื่อสารกับบริการภายนอกสร้างสะพานเชื่อมระหว่างข้อมูลในไดรฟ์และ Gmail ที่ละเอียดอ่อนของผู้ใช้และโลกภายนอก สำหรับบางแอปการเชื่อมต่อข้อมูลยังไม่ชัดเจนและเหตุผลที่ไม่ได้กล่าวถึงอย่างเปิดเผย
แอป Google G Suite Marketplace บางแอปมีคำขอสิทธิ์ที่น่าสงสัยและการเชื่อมต่อกับบริการภายนอกที่ไม่เปิดเผยอย่างไม่ชัดเจนหรือไม่
นักวิจัย Reyes และ Lack กล่าวว่าพวกเขาใช้สคริปต์อัตโนมัติเพื่อติดตั้งแอป 1,392 รายการทั้งหมดที่อยู่ใน G Suite Marketplace ในบัญชี Google ทดสอบ พวกเขาดำเนินการบันทึกสิทธิ์ที่แต่ละแอพร้องขอ จาก 1,392 แอพที่พวกเขาทดสอบ 405 ล้มเหลวพร้อมข้อผิดพลาดมากมาย จากแอปที่เหลืออีก 987 แอปที่สามารถติดตั้งได้ 889 แอปจำเป็นต้องเข้าถึงข้อมูลผู้ใช้ผ่าน Google APIs ไม่จำเป็นต้องเพิ่มสิ่งนี้ทำให้เกิดคำขออนุญาตที่ผู้ใช้ส่วนใหญ่มักจะให้
โปรดทราบว่าแอปเกือบครึ่งหรือ 481 รายการจาก G Suite Marketplace ขออนุญาตสื่อสารกับบริการภายนอก โดยพื้นฐานแล้วอนุญาตให้สร้างสะพานเสมือนระหว่างไดรฟ์ที่ละเอียดอ่อนของผู้ใช้กับข้อมูลและบริการ Gmail ซึ่งอยู่นอกพอร์ตโฟลิโอของ Google จาก 481 แอพเหล่านี้ 21 เปอร์เซ็นต์ (103 แอพ) สามารถเข้าถึงและโต้ตอบกับไฟล์ Google ไดรฟ์ 17 เปอร์เซ็นต์ (81 แอพ) สามารถเข้าถึงและโต้ตอบกับกล่องจดหมายอีเมลและ 3 เปอร์เซ็นต์ (15 แอพ) สามารถเข้าถึงและโต้ตอบกับข้อมูลปฏิทิน
G Suite Marketplace เตรียมไว้สำหรับไฟล์ # ความเป็นส่วนตัว เรื่องอื้อฉาวนักวิจัยเตือนแอป G Suite ที่เข้าถึงไดรฟ์และข้อมูล Gmail ที่พบว่าสื่อสารกับบริการภายนอกที่ไม่เปิดเผย https://t.co/gIWnI3VVNx ผ่าน @AlisterBrenton # ความปลอดภัย #infosec pic.twitter.com/bkeGZYBfVv
- อลิสเตอร์เบรนตัน (@AlisterBrenton) 2 มิถุนายน 2020
สิ่งสำคัญคือต้องเพิ่มว่าส่วนเสริมหลายตัวมีเหตุผลที่ถูกต้องในการเชื่อมต่อกับบริการภายนอกที่ปลอดภัย อย่างไรก็ตามนักวิจัยอ้างว่าพวกเขาค้นพบแอพจำนวนมากที่ไม่สบายใจดูเหมือนไม่มีเหตุผลที่ชัดเจนในการสร้างการเชื่อมต่อกับบริการภายนอก
โปรดทราบว่าผู้ใช้ไม่มีข้อมูลเชิงลึกว่าแอป G Suite อาจสื่อสารกับบริการภายนอกใดบ้าง นอกจากนี้ยังไม่มีข้อมูลเกี่ยวกับลักษณะและวัตถุประสงค์ของการสื่อสาร ผู้ใช้จะมีเพียงคำอธิบายแอปและนโยบายความเป็นส่วนตัวที่นักพัฒนาแอปจัดหาให้โดยสมัครใจเพื่อพยายามทำความเข้าใจเหตุผลวัตถุประสงค์และลักษณะของการสื่อสารของแอป G Suite Marketplace และบริการภายนอก
Google ไม่ใช้ข้อ จำกัด ที่กำหนดไว้ในแอป 'ไม่ได้รับการยืนยัน' อย่างเคร่งครัดใช่หรือไม่
นอกเหนือจากการสื่อสารกับบริการภายนอกแล้วนักวิจัยยังอ้างว่ายังมีอีกหนึ่งปัญหาที่เกี่ยวข้องกับกระบวนการตรวจสอบของ G Suite Marketplace หรือปัญหาที่ขาดหายไป ขั้นตอนการตรวจสอบเป็นสิ่งจำเป็นสำหรับแอปทั้งหมดที่ส่งไปยังตลาดกลาง กระบวนการนี้จะเข้มงวดและยาวมากขึ้นสำหรับแอปที่เรียก API ซึ่ง Google จัดประเภทว่ามีความละเอียดอ่อนหรือแบบ จำกัด
ขั้นตอนการตรวจสอบแอปที่เรียกใช้ Sensitive API อาจอยู่ในช่วง 3 ถึง 5 วัน ในขณะเดียวกันแอปที่เรียก API แบบ 'จำกัด ' หรือโต้ตอบกับข้อมูล Gmail หรือ Google ไดรฟ์ของผู้ใช้อาจใช้เวลาระหว่าง 4 ถึง 8 สัปดาห์
ในการข้ามขั้นตอนการตรวจสอบและการอนุมัติที่ยืดเยื้อไปชั่วคราว Google อนุญาตให้นักพัฒนาแอปแสดงรายการแอปที่“ ไม่ได้รับการยืนยัน” ใน G Suite Marketplace Google เพียงแค่ตบป้ายเตือนในรูปแบบของข้อความเต็มหน้าเพื่อเตือนให้ผู้ใช้ทราบถึงอันตรายจากการติดตั้งแอปที่อาจเป็นอันตรายซึ่งยังไม่ผ่านกระบวนการตรวจสอบ มีข้อ จำกัด อีกอย่างหนึ่งที่พยายาม จำกัด แอป G Suite ที่“ ไม่ได้รับการยืนยัน” ให้ติดตั้งได้เพียง 100 ครั้ง
- นักวิจัยวิเคราะห์แอปของบุคคลที่สาม G Suite 1,392 รายการ
- พวกเขาพบ 481 แอพที่เชื่อมต่อกับบริการภายนอก
- 103 รายการมีสิทธิ์เข้าถึง Google ไดรฟ์เต็มรูปแบบ
- 81 มีสิทธิ์เข้าถึง Gmail เต็มรูปแบบ
- 15 มีสิทธิ์เข้าถึง Google ปฏิทินเต็มรูปแบบ pic.twitter.com/NJzbUShzPy- Catalin Cimpanu (@campuscodi) 2 มิถุนายน 2020
อย่างไรก็ตามนักวิจัยอ้างว่าพวกเขาพบว่าแอปที่ไม่ได้รับการยืนยันจำนวนมากมีผู้ใช้มากกว่า 100 รายเนื่องจากรอการตรวจสอบ สิ่งนี้แสดงให้เห็นเป็นอย่างยิ่งว่า Google จงใจผ่อนปรนขีด จำกัด 'ผู้ใช้ใหม่ 100 ราย'
การปฏิบัติดังกล่าวหรือการใช้นโยบายที่ไม่ดีอาจก่อให้เกิดแอปที่เป็นอันตรายที่อัปโหลดบนสโตร์ได้โดยมีจุดประสงค์เพียงอย่างเดียวเพื่อรวบรวมข้อมูลจากผู้ใช้ Google ผู้ใช้แพ็กเกจ G Suite ของ Google ส่วนใหญ่มาจากภาคองค์กร สิ่งนี้เพิ่มความเสี่ยงอย่างมากต่อการแฮ็กวิศวกรรมสังคมและการโจมตีที่คล้ายคลึงกัน
นักวิจัยขอแนะนำให้ย้ายกระบวนการหรือค้นหาและให้สิทธิ์จากขั้นตอนการติดตั้งไปยังเวลาที่แอปต้องการการอนุญาตเป็นครั้งแรก การอ้างสิทธิ์ของ Reyes และ Lack ซึ่งเปลี่ยนจากสิทธิ์ในการติดตั้งเป็นสิทธิ์ขณะทำงานช่วยเพิ่มโอกาสที่ผู้ใช้จะสังเกตเห็นแอปที่น่าสงสัยและย้อนรอยหรือปฏิเสธการอนุญาต
แท็ก google
![[FIX] Sharepoint ไม่แสดงทั้งเอกสาร Word](https://jf-balio.pt/img/how-tos/92/sharepoint-not-showing-whole-word-document.jpg)
