G Suite Marketplace koerst af op privacyschandaal

Voor het onderzoek (pdf) hebben twee beveiligingsspecialisten van Two Six Labs alle 1392 apps die begin januari dit jaar aanwezig waren in de G Suite Market gedownload en geïnstalleerd, merkte ZDNet op. De onderzoekers hebben daarbij geregistreerd om welke bevoegdheden de apps vroegen. Van de apps die konden worden geïnstalleerd vroeg 90 procent om toegang tot gebruikersinformatie via de Google api's.

Bijna de helft vroeg ook toestemming te communiceren met externe diensten. Van deze apps wilde 21 procent toegang tot Google Drive en 17 procent wilde toegang tot de e-mailboxen. 3 procent wilde toegang tot de agendagegevens. Deze apps kunnen dus allemaal gevoelige persoonlijke informatie kopiëren en wegsluizen. Gebruikers hebben geen inzicht in wat de apps precies doen met de informatie, afgezien van wat de app-ontwikkelaars zelf in hun documentatie noemen.

Sommige apps hebben een verklaarbare reden om te koppelen met andere diensten, maar bij een deel van de apps was de reden onduidelijk.

Reviewproces vormt ook risico

De apps in G Suite moeten allemaal het reviewproces van Google doorlopen. Dat kan echter nogal wat tijd in beslag nemen, tot wel 8 weken voor apps die api-calls maken met de hoogste restricties. Google introduceert zelf een riskante situatie door apps al voorlopig toe te laten tot de G Suite Marketplace met een 'unverified'-label. Google probeert dat risico in te dammen door maximaal 100 downloads toe te staan voor het reviewproces is voltooid en toont bovendien een pagina met een waarschuwing. De onderzoekers vonden echter dat Google de opgelegde restrictie van 100 downloads niet handhaaft.