Tal van apps in de G Suite Marketplace hebben niet alleen toegang tot gebruikersdata in Gmail- en Drive-accounts, maar communiceren tegelijk ook met externe diensten. Dat is een belangrijk privacyrisico, zo oordelen onderzoekers van Two Six Labs.
De onderzoekers analyseerden de permissieverzoeken van third-party add-ons in de G Suite Marketplace. Ze gebruikten daarvoor een geautomatiseerd script om alle 1.392 beschikbare apps te installeren op een Google-account en de verzochte permissies te registreren.
Van de 1.392 add-ons konden 405 niet worden geïnstalleerd door foutmeldingen. Van de overige 987 add-ons waren er 889 die toegang vereisten tot gebruikersdata via Google-api’s en daar toestemming om vroegen. Bijna de helft daarvan (481 add-ons) vroegen permissie om te communiceren met externe diensten, waardoor ze in feite een doorgeeftunnel creëren tussen gevoelige Gmail- en Drive-data en de buitenwereld.
De onderzoekers braken de permissies van deze 481 G Suite-apps nog verder op. 21 procent kreeg toegang tot en kon interageren met Google Drive-bestanden, 17 procent kreeg toegang tot en kon interageren met Gmail, en 15 procent kreeg toegang tot en kon interageren met Google Calendar.
In sommige gevallen was er een legitieme reden voor de add-on om met een externe dienst te communiceren, maar in de meeste gevallen was dat volgens de onderzoekers erg onduidelijk. Wanneer ontwikkelaars zelf niet vrijwillig aangeven in de beschrijving of het privacybeleid met welke diensten hun add-ons verbinding maken en waarom, heb je daar als gebruiker het raden naar.
Niet-geverifieerde add-ons
De onderzoekers ontdekten nog een tweede probleem, meer bepaald met het reviewproces van de Marketplace. Elke add-on die wordt ingediend, wordt aan dat proces onderworpen, zeker wanneer gebruik wordt gemaakt van api’s die Google als ‘gevoelig’ of ‘gelimiteerd’ klasseert.
Voor add-ons die ‘gevoelige’ api-calls maken, kan een review 3 tot 5 dagen in beslag nemen. Voor ‘gelimiteerde’ api-calls, die toegang geven tot gebruikersdata in Gmail of Google Drive, is dat zelfs 4 tot 8 weken. Omdat hierdoor lange doorlooptijden ontstaan, staat Google toe dat ontwikkelaars hun add-ons voorlopig als ‘niet-geverifieerd’ aan de Marketplace toevoegen.
Niet-geverifieerde apps zijn gelimiteerd tot 100 installaties tot ze het reviewproces hebben doorlopen en Google toont een grote waarschuwingspagina wanneer je een niet-geverifieerde add-on probeert te installeren. De onderzoekers stelden evenwel vast dat tijdens een tweede scan van de Marketplace, 16 dagen na de eerste, verschillende niet-geverifieerde add-ons er meer dan 100 gebruikers hadden bijgekregen. Google lijkt deze beperking dus niet hard af te dwingen.
Zelfde problemen als Facebook
De onderzoekers van Two Six Labs argumenteren dat de G Suite Marketplace momenteel veel gelijkaardige problemen toont als het app-ecosysteem van Facebook in het verleden, voor het Cambridge Analytics-schandaal er paal en perk aan stelde. Dat kan leiden tot gelijkaardige uitwassen, met add-ons die als enige doel hebben om data van G Suite-gebruikers te verzamelen.
Eén manier waarop Google volgens de onderzoekers de situatie kan verbeteren, is door over te stappen van ‘install-time’ permissies naar ‘run-time’ permissies. Wanneer pas bij het eerste gebruik de vereiste toestemmingen worden gevraagd, zijn gebruikers aantoonbaar beter in staat om opdringerige add-ons te detecteren.
Het onderzoek werd vorige maand gepresenteerd op het 41ste IEEE Symposium on Security and Privacy Workshops. Een draft van de onderzoekspaper is hier beschikbaar.