گوگل دستاویزات میں الفاظ کی گنتی
گوگل کا ایپ ماحولیاتی نظام محفوظ ، قابل اعتماد ، اور تصدیق شدہ سمجھا جاتا ہے۔ تاہم ، سیکیورٹی کے متعدد محققین نے جوڑے کی ایپلی کیشن کی ایک بڑی تعداد کے بارے میں کچھ خدشات اٹھائے ہیں جی سویٹ مارکیٹ پلیس . محققین کا دعوی ہے کہ متعدد ایپس کو Gmail اور ڈرائیو اکاؤنٹس تک رسائی حاصل ہے۔ اگرچہ یہ بات قابل فہم ہے ، لیکن بہت ساری ایپس غیر منقول بیرونی خدمات کے ساتھ بھی رابطے کرتی ہیں۔ یہ گوگل اکاؤنٹس سے غیر تصدیق شدہ اور نامعلوم مقامات یا اداروں میں خفیہ اعداد و شمار کے راستوں کے ل a ایک خطرناک موقع پیش کرسکتا ہے۔
ارون رئیس اور دو چھ لیبوں کی مائیکل کی کمی کے ذریعہ کی گئی حالیہ تحقیق میں جی سویٹ مارکیٹ پلیس میں درج تیسری پارٹی کے گوگل ایپس کے ذریعہ درخواست کردہ اجازتوں کا وسیع تجزیہ کیا گیا تھا۔ ان دونوں کا دعوی ہے کہ انھوں نے دریافت کیا کہ بہت ساری ایپس کو جانچنے والے گوگل اکاؤنٹ پر صحیح طریقے سے انسٹال کرنے میں ناکام رہی ، جب کہ تقریبا half نصف نے بیرونی خدمات کے ساتھ مواصلت کرنے کی اجازت کی درخواست کی ، جس سے صارف کے حساس ڈرائیو اور جی میل کے ڈیٹا اور بیرونی دنیا کے مابین ایک پل پیدا ہوسکے۔ کچھ ایپس کے ل the ، ڈیٹا کا کنکشن واضح نہیں تھا ، اور اسباب کا کھل کر ذکر نہیں کیا گیا تھا۔
کچھ گوگل جی سویٹ مارکیٹ پلیس ایپس کے پاس اجازت سے متعلق درخواستوں اور غیر ملکی ، نامعلوم خدمات سے غیر واضح رابطہ ہے؟
محققین رئیس اور لاک نے کہا کہ وہ ایک گوگل گوگل اکاؤنٹ پر جی سویٹ مارکیٹ پلیس میں درج تمام 1،392 ایپس کو انسٹال کرنے کے لئے خودکار اسکرپٹ کا استعمال کرتے ہیں۔ انہوں نے ہر اطلاق کی درخواست کردہ اجازتوں کو ریکارڈ کرنا جاری کیا۔ انھوں نے تجربہ کیا ہوا 1،392 ایپس سے ، 405 متعدد غلطیوں میں ناکام رہے۔ باقی 987 ایپس جو انسٹال کی جاسکتی ہیں ان میں سے ، 889 ایپس کو Google APIs کے ذریعے صارف کے ڈیٹا تک رسائی درکار ہے۔ شامل کرنے کی ضرورت نہیں ، اس نے اجازت کی درخواست کو متحرک کیا جس کی اکثریت صارفین عام طور پر دیتے ہیں۔
یہ امر قابل ذکر ہے کہ جی سویٹ مارکیٹ پلیس کی تقریبا نصف یا 481 ایپس نے بیرونی خدمات کے ساتھ بات چیت کرنے کی اجازت کی درخواست کی تھی۔ اس سے صارف کی حساس ڈرائیو اور Gmail کے ڈیٹا اور خدمات کے درمیان ورچوئل پل بنانے کی بنیادی طور پر اجازت دی گئی جو Google کے پورٹ فولیو سے باہر تھیں۔ ان 481 ایپس میں سے ، 21 فیصد (103 ایپس) گوگل ڈرائیو فائلوں تک رسائی اور بات چیت کرسکتی ہیں ، 17 فیصد (81 ایپس) ای میل ان باکسز تک رسائی اور بات چیت کرسکتی ہیں ، اور 3 فیصد (15 ایپس) کیلنڈر ڈیٹا تک رسائی اور بات چیت کرسکتی ہیں۔
جی سویٹ مارکیٹ پلیس ایک کے لئے # رازداری اسکینڈل ، محققین نے جی سویٹ ایپس کو متنبہ کیا جن کو ڈرائیو اور جی میل ڈیٹا تک رسائی حاصل ہے انھوں نے نامعلوم بیرونی خدمات کے ساتھ بات چیت کرتے ہوئے پایا۔ https://t.co/gIWnI3VVNx ذریعے ٹویٹ ایمبیڈ کریں # سلامتی # انفوزیک pic.twitter.com/bkeGZYBfVv
- ایلسٹر برینٹن (@ ایلسٹربرنٹن) 2 جون ، 2020
یہ شامل کرنا ضروری ہے کہ متعدد اضافوں کے پاس بیرونی خدمات کو محفوظ رکھنے کے ل connect جائز وجوہات ہیں۔ تاہم ، محققین کا دعویٰ ہے کہ انھوں نے بڑی آسانی سے ایپس کی ایک بڑی تعداد کو دریافت کیا ہے جس میں بیرونی خدمات کے ساتھ روابط قائم کرنے کی کوئی واضح وجہ موجود نہیں ہے۔
یہ بات قابل غور ہے کہ صارفین کے پاس اس بات کا کوئی بصیرت نہیں ہے کہ جی سویٹ ایپس کونسی بیرونی خدمت میں بات چیت کر رہی ہے۔ مزید برآں ، مواصلات کی نوعیت اور مقصد کے بارے میں کوئی معلومات نہیں ہے۔ صارفین کے پاس صرف ایپ کی تفصیل اور رازداری کی پالیسیاں رضاکارانہ طور پر ایپ ڈویلپرز کے ذریعہ فراہم کی جاتی ہیں تاکہ جی سویٹ مارکیٹ پلیس ایپ اور کسی بیرونی سروس کے مواصلات کی وجہ ، مقصد اور نوعیت کو سمجھنے اور سمجھنے کے لئے ایپ ڈویلپرز نے رضاکارانہ طور پر فراہم کی ہو۔
گوگل ‘غیر تصدیق شدہ’ ایپس پر عائد پابندیوں پر سختی سے عمل درآمد نہیں کرتا ہے؟
بیرونی خدمات کے ساتھ بات چیت کے علاوہ ، محققین نے دعوی کیا ہے کہ جی سویٹ مارکیٹ پلیس کے جائزے کے عمل یا اس کی کمی کے معاملے میں ایک اور مسئلہ ہے۔ بازار میں جمع کی جانے والی تمام ایپس کیلئے جائزہ لینے کا عمل لازمی ہے۔ یہ عمل ایسی ایپس کے ل even اور بھی سخت اور لمبا ہو جاتا ہے جو API کالز کرتی ہیں جنہیں گوگل حساس اور محدودیت کے لحاظ سے درجہ بندی کرتا ہے۔
حساس API کال کرنے والے ایپس کے جائزے کا عمل 3 سے 5 دن تک ہوسکتا ہے۔ دریں اثنا ، وہ اطلاقات جو 'پابندی' API کال کرتی ہیں یا صارف کے جی میل یا گوگل ڈرائیو ڈیٹا کے ساتھ تعامل کرتی ہیں وہ کہیں بھی 4 سے 8 ہفتوں کے درمیان لے سکتی ہیں۔
اس طرح کے طویل جائزے اور منظوری کے عمل کو عارضی طور پر نظرانداز کرنے کے لئے ، گوگل ایپ ڈویلپرز کو G سوئٹ مارکیٹ پلیس پر ایپس کو 'غیر تصدیق شدہ' کی فہرست میں شامل کرنے کی اجازت دیتا ہے۔ گوگل محض ایک صفحے پر مشتمل پیغام کی شکل میں ایک انتباہی لیبل کو تھپڑ مارتا ہے جس سے صارفین کو ممکنہ طور پر خطرناک ایپ انسٹال کرنے کے خطرے سے خبردار کیا جاتا ہے جو اب تک اس کے جائزے کے عمل میں نہیں گذرا ہے۔ ایک اور پابندی ہے جو 'غیر تصدیق شدہ' جی سویٹ ایپس کو صرف 100 انسٹال تک محدود کرنے کی کوشش کرتی ہے۔
-تلاش کرنے والوں نے 1،392 جی سویٹ تھرڈ پارٹی ایپس کا تجزیہ کیا
-انھوں نے 481 ایپس کو بیرونی خدمات سے منسلک کیا
- ان میں سے 103 کو مکمل گوگل ڈرائیو تک رسائی حاصل تھی
- 81 کے پاس Gmail کی مکمل رسائی تھی
- 15 میں گوگل کیلنڈر کی مکمل رسائی تھی pic.twitter.com/NJzbUShzPy- کتلن سیمپانو (@ کیمپسکوڈی) 2 جون ، 2020
تاہم ، محققین کا دعویٰ ہے کہ انہیں پتہ چلا ہے کہ متعدد غیر تصدیق شدہ ایپس نے 100 سے زیادہ صارفین کو حاصل کیا ہے کیونکہ وہ جائزہ لینے کے منتظر ہیں اس سے سختی سے معلوم ہوتا ہے کہ گوگل جان بوجھ کر '100 نئے صارفین' کی سخت حد میں نرمی کر رہا ہے۔
اس طرح کے طریقوں یا پالیسیوں کا ناقص نفاذ Google صارفین سے ڈیٹا اکٹھا کرنے کے واحد مقصد کے ساتھ اسٹور پر اپ لوڈ کی جانے والی بدنصیبی ایپس کو آسانی سے جنم دے سکتا ہے۔ گوگل کے جی سویٹ پیکیج استعمال کرنے والوں کی اکثریت انٹرپرائز سیکٹر سے ہے۔ اس سے سوشل انجینئرنگ ہیکس اور اسی طرح کے حملوں کا خطرہ نمایاں طور پر بڑھتا ہے۔
محققین تجویز کرتے ہیں کہ اس عمل کو آگے بڑھائیں یا انسٹال کے طریقہ کار سے اس وقت تک اجازت کی طلب کریں اور اجازت دیں جب ایپس کو واقعتا پہلی بار کسی خاص اجازت کی ضرورت ہو۔ رئیس اور فقدان کے دعوے ، انسٹال ٹائم اجازتوں سے رن ٹائم اجازتوں کی طرف بڑھتے ہوئے ، صارفین کو مشتبہ ایپس اور بیک ٹریک پر نظر رکھنے یا اجازت دینے سے انکار کرنے کے امکانات میں نمایاں اضافہ ہوتا ہے۔
ٹیگز گوگل
