G Suite Marketplace第三方App过度透过API存取用户Drive、Gmail资讯

一项研究显示G Suite Marketplace上的应用程序，可能透过API存取过多企业资讯，包括Drive、行事历及Gmail，可能重演脸书的剑桥分析事件。

G Suite用户除了Google提供的企业应用程序外，还可从G Suite Marketplace下载第三方企业用App，有些安装量高达数百万，这些程式透过Google API整合G Suite。为了了解这些应用程序要求的API存取权限，安全厂商Two Six Labs研究人员Irwin Reyes and Michael，今年1月针对G Suite Marketplace上的987个网页应用程序进行分析。

他们发现987个Marketplace App中，50%会在Google应用程序内，以通知或边栏执行显示Web内容；49%（481个）连到外部服务。此外，27%可以读取或删改Google Drive试算表；25%在用户未上线时执行应用程序；20%还可以读取、新增、删改Google Drive档案。

研究人员进一步分析连到外部服务的App，其中超过20%可完整存取Google Drive，17%可在以外挂形式执行时读取Gmail资料，3%可完整存取联络人资讯。

相对于这些App轻易存取用户资料，然而G Suite Marketplace却未清楚告知用户什么外部服务App存取其资料，以及分享了哪些资料，用户仅能依赖App的主动揭露。

Google政策规定，外部App存取Gmail和Drive资料被列为敏感存取，需要Google验证，而未验证的App最多只能有100名新用户安装，因此本研究检视的另一个议题是，Google是否有确实执行这个政策的安装数量。

经过分析，研究显示277个“未验证”G Suite Marketplace Apps中，有124个在16天后还可以安装，而且有24个即使未验证，还是有超过100名新用户安装，其中一个在16天增加近万用户，并有另一个App不但5个月下来未完成验证，却还可以拥有Gmail、Drive和联络人资料的完整存取权限，显示Google未落实安全政策。这也会使脸书平台上第三方App存取用户资讯的剑桥分析事件，可能在G Suite上重现。

研究人员指出，G Suite第三方API滥用原因之一在于使用安装时存取许可（install-time permission），即安装当下就取得了存取许可。他们建议Google可以改用，目前手机应用程序普遍采用的执行时存取许可（run-time permission），脸书也是在剑桥分析案后，借此改善了API滥用问题。