Two Six Labs研究人員認為G Suite第三方API有遭濫用問題,原因之一在於使用install-time permission(圖左),即安裝當下就取得了存取許可,他們建議Google改用run-time permission(執行時存取許可,圖右),臉書也是在劍橋分析案後,藉此改善了API濫用問題。

一項研究顯示G Suite Marketplace上的應用程式,可能透過API存取過多企業資訊,包括Drive、行事曆及Gmail,可能重演臉書的劍橋分析事件。

G Suite用戶除了Google提供的企業應用程式外,還可從G Suite Marketplace下載第三方企業用App,有些安裝量高達數百萬,這些程式透過Google API整合G Suite。為了了解這些應用程式要求的API存取權限,安全廠商Two Six Labs研究人員Irwin Reyes and Michael,今年1月針對G Suite Marketplace上的987個網頁應用程式進行分析。

他們發現987個Marketplace App中,50%會在Google應用程式內,以通知或邊欄執行顯示Web內容;49%(481個)連到外部服務。此外,27%可以讀取或刪改Google Drive試算表;25%在用戶未上線時執行應用程式;20%還可以讀取、新增、刪改Google Drive檔案。

研究人員進一步分析連到外部服務的App,其中超過20%可完整存取Google Drive,17%可在以外掛形式執行時讀取Gmail資料,3%可完整存取聯絡人資訊。

相對於這些App輕易存取用戶資料,然而G Suite Marketplace卻未清楚告知用戶什麼外部服務App存取其資料,以及分享了哪些資料,用戶僅能依賴App的主動揭露。

Google政策規定,外部App存取Gmail和Drive資料被列為敏感存取,需要Google驗證,而未驗證的App最多只能有100名新用戶安裝,因此本研究檢視的另一個議題是,Google是否有確實執行這個政策的安裝數量。

經過分析,研究顯示277個「未驗證」G Suite Marketplace Apps中,有124個在16天後還可以安裝,而且有24個即使未驗證,還是有超過100名新用戶安裝,其中一個在16天增加近萬用戶,並有另一個App不但5個月下來未完成驗證,卻還可以擁有Gmail、Drive和聯絡人資料的完整存取權限,顯示Google未落實安全政策。這也會使臉書平台上第三方App存取用戶資訊的劍橋分析事件,可能在G Suite上重現。

研究人員指出,G Suite第三方API濫用原因之一在於使用安裝時存取許可(install-time permission),即安裝當下就取得了存取許可。他們建議Google可以改用,目前手機應用程式普遍採用的執行時存取許可(run-time permission),臉書也是在劍橋分析案後,藉此改善了API濫用問題。


Advertisement

更多 iThome相關內容