গুগল ডক্সে শব্দ গণনা
গুগলের অ্যাপ ইকোসিস্টেমকে নিরাপদ, বিশ্বাসযোগ্য এবং যাচাই করা হয়। যাইহোক, নিরাপত্তা গবেষকরা দু'জন থেকে অ্যাপগুলির একটি বিশাল সংখ্যা সম্পর্কে কয়েকটি উদ্বেগ প্রকাশ করেছেন জি স্যুট মার্কেটপ্লেস । গবেষকরা দাবি করেছেন যে বেশ কয়েকটি অ্যাপ্লিকেশানের জিমেইল এবং ড্রাইভ অ্যাকাউন্টে অ্যাক্সেস রয়েছে। এটি বোধগম্য হলেও, অনেকগুলি অ্যাপ্লিকেশন অঘোষিত বাহ্যিক পরিষেবার সাথেও যোগাযোগ করে। এটি গুগল অ্যাকাউন্ট থেকে যাচাই করা এবং অজ্ঞাত স্থান বা সত্তা থেকে গোপনীয় ডেটা পথের জন্য একটি ঝুঁকিপূর্ণ সুযোগ উপস্থাপন করতে পারে।
ইরুইন রেইস এবং টু সিক্স ল্যাবগুলির মাইকেল অভাবের দ্বারা সাম্প্রতিক গবেষণাটি জি স্যুট মার্কেটপ্লেসে তালিকাভুক্ত তৃতীয় পক্ষের গুগল অ্যাপগুলির দ্বারা অনুরোধ করা অনুমতিগুলির বিস্তৃত বিশ্লেষণের সাথে জড়িত। দুজনের দাবি, তারা আবিষ্কার করেছেন যে অনেকগুলি অ্যাপ্লিকেশন কোনও পরীক্ষামূলক গুগল অ্যাকাউন্টে সঠিকভাবে ইনস্টল করতে ব্যর্থ হয়েছে, যখন প্রায় অর্ধেকই বাহ্যিক পরিষেবাগুলির সাথে যোগাযোগের অনুমতি চেয়েছিল, ব্যবহারকারীর সংবেদনশীল ড্রাইভ এবং জিমেইল ডেটা এবং বাইরের বিশ্বের মধ্যে একটি সেতু তৈরি করে। বেশ কয়েকটি অ্যাপের জন্য, ডেটা সংযোগটি অস্পষ্ট ছিল এবং কারণগুলি প্রকাশ্যে উল্লেখ করা হয়নি।
কিছু গুগল জি স্যুট মার্কেটপ্লেস অ্যাপ্লিকেশনগুলিতে বাহ্যিক, অজ্ঞাত পরিষেবাগুলিতে সন্দেহজনক অনুমতিগুলির অনুরোধ এবং অস্পষ্ট সংযোগ রয়েছে?
গবেষক রেয়েস এবং ল্যাক বলেছিলেন যে তারা একটি পরীক্ষার গুগল অ্যাকাউন্টে জি স্যুট মার্কেটপ্লেসে তালিকাভুক্ত সমস্ত 1,392 টি অ্যাপ্লিকেশন ইনস্টল করতে একটি স্বয়ংক্রিয় স্ক্রিপ্ট ব্যবহার করেছে। অ্যাপ্লিকেশানের প্রত্যেকটির অনুরোধ করা অনুমতিগুলি তারা রেকর্ড করতে এগিয়ে গেছে। তারা পরীক্ষিত 1,392 টি অ্যাপ্লিকেশন থেকে 405 অসংখ্য ত্রুটিতে ব্যর্থ হয়েছে। ইনস্টল করা সম্ভব অবশিষ্ট 987 টি অ্যাপ্লিকেশন থেকে, 889 অ্যাপ্লিকেশনগুলিকে গুগল এপিআইয়ের মাধ্যমে ব্যবহারকারীর ডেটা অ্যাক্সেসের প্রয়োজন। যোগ করার দরকার নেই, এটি বেশিরভাগ ব্যবহারকারীরা সাধারণত মঞ্জুর করে এমন একটি অনুমতি অনুরোধকে ট্রিগার করে।
এটি লক্ষণীয় যে জি স্যুট মার্কেটপ্লেসের প্রায় অর্ধেক বা 481 টি অ্যাপ্লিকেশনগুলি বাহ্যিক পরিষেবাদির সাথে যোগাযোগের জন্য অনুমতি চেয়েছিল। এটি মূলত ব্যবহারকারীর সংবেদনশীল ড্রাইভ এবং জিমেইল ডেটা এবং পরিষেবাগুলির মধ্যে যা গুগলের পোর্টফোলিওর বাইরে ছিল সেগুলির মধ্যে ভার্চুয়াল ব্রিজ তৈরির অনুমতি দিয়েছে। এই 481 টি অ্যাপ্লিকেশনগুলির মধ্যে 21 শতাংশ (103 টি অ্যাপ্লিকেশন) গুগল ড্রাইভ ফাইলগুলির সাথে অ্যাক্সেস এবং ইন্টারঅ্যাক্ট করতে পারে, 17 শতাংশ (৮১ টি অ্যাপ্লিকেশন) ইমেল ইনবক্সগুলিতে অ্যাক্সেস এবং ইন্টারঅ্যাক্ট করতে পারে এবং 3 শতাংশ (15 টি অ্যাপ্লিকেশন) ক্যালেন্ডারের ডেটাতে অ্যাক্সেস এবং ইন্টারেক্ট করতে পারে।
জি স্যুট মার্কেটপ্লেসটি প্রাইম করে # গোপনীয়তা কেলেঙ্কারী, গবেষকরা জি স্যুট অ্যাপ্লিকেশনগুলিকে সাবধান করে যা ড্রাইভ এবং জিমেইল ডেটা অ্যাক্সেস করে অঘোষিত বাহ্যিক পরিষেবাদিগুলির সাথে যোগাযোগ করে। https://t.co/gIWnI3VVNx মাধ্যমে নিবন্ধন করুন # সুরক্ষা # ইনফোসেক pic.twitter.com/bkeGZYBfVv
- অ্যালিস্টার ব্রেন্টন (@ অলিস্টারব্রন্টন) জুন 220, 20
এটি যুক্ত করা জরুরী যে বেশ কয়েকটি অ্যাড-অনের নিরাপদ বাহ্যিক পরিষেবাদিগুলির সাথে সংযোগ স্থাপনের বৈধ কারণ রয়েছে। তবে গবেষকরা দাবি করেছেন যে তারা একটি অস্বস্তিকর সংখ্যক অ্যাপ্লিকেশন আবিষ্কার করেছেন যে বাহ্যিক পরিষেবার সাথে সংযোগ স্থাপনের স্পষ্ট কারণ রয়েছে বলে মনে হয় না।
এটি লক্ষণীয় যে জি-স্যুট অ্যাপসটি কোনও যোগাযোগ করছে এমন কোন বাহ্যিক পরিষেবা সম্পর্কে ব্যবহারকারীদের অন্তর্দৃষ্টি নেই। অতিরিক্তভাবে, যোগাযোগগুলির প্রকৃতি এবং উদ্দেশ্য সম্পর্কে কোনও তথ্য নেই। ব্যবহারকারীদের কেবলমাত্র জি স্যুট মার্কেটপ্লেস অ্যাপ্লিকেশন এবং একটি বাহ্যিক পরিষেবার যোগাযোগের কারণ, উদ্দেশ্য এবং প্রকৃতির চেষ্টা ও বুঝতে চেষ্টা করার জন্য অ্যাপ্লিকেশন বিকাশকারীদের স্বেচ্ছায় সরবরাহ করা অ্যাপের বিবরণ এবং গোপনীয়তা নীতিগুলি রয়েছে।
গুগল ‘যাচাই করা হয়নি’ অ্যাপ্লিকেশনগুলিতে আরোপিত বিধিনিষেধগুলি কঠোরভাবে প্রয়োগ করে না?
বাহ্যিক পরিষেবাগুলির সাথে যোগাযোগ ছাড়াও গবেষকরা দাবি করেছেন যে জি স্যুট মার্কেটপ্লেসের পর্যালোচনা প্রক্রিয়া বা এর অভাব নিয়ে সমস্যা সম্পর্কিত আরও একটি সমস্যা রয়েছে। মার্কেটপ্লেসে জমা দেওয়া সমস্ত অ্যাপের জন্য পর্যালোচনা প্রক্রিয়া বাধ্যতামূলক। প্রক্রিয়া এমন অ্যাপ্লিকেশানগুলির জন্য আরও কঠোর এবং দীর্ঘতর হয়ে ওঠে যা এপিআই কলগুলি করে যা গুগল সংবেদনশীল বা সীমাবদ্ধ হিসাবে শ্রেণিবদ্ধ করে।
সংবেদনশীল এপিআই কলগুলি করা অ্যাপগুলির জন্য পর্যালোচনা প্রক্রিয়াটি 3 থেকে 5 দিনের মধ্যে হতে পারে। এদিকে, অ্যাপ্লিকেশনগুলি যেগুলি 'সীমাবদ্ধ' এপিআই কল করে বা ব্যবহারকারীর জিমেইল বা গুগল ড্রাইভ ডেটার সাথে ইন্টারেক্ট করে সেগুলি 4 থেকে 8 সপ্তাহের মধ্যে যে কোনও জায়গায় নিতে পারে।
এত দীর্ঘ পর্যালোচনা এবং অনুমোদনের প্রক্রিয়াটি অস্থায়ীভাবে বাইপাস করতে, গুগল অ্যাপ বিকাশকারীদের অ্যাপ্লিকেশনগুলিকে জি স্যুট মার্কেটপ্লেসে 'যাচাই করা হয়নি' হিসাবে তালিকাভুক্ত করার অনুমতি দেয়। গুগল কেবলমাত্র একটি পূর্ণ পৃষ্ঠা বার্তা আকারে একটি সতর্কতা লেবেলকে ধাক্কা দেয় যা ব্যবহারকারীদের একটি সম্ভাব্য বিপজ্জনক অ্যাপ্লিকেশন ইনস্টল করার বিপদ সম্পর্কে সতর্ক করে দেয় যা এখনও পর্যন্ত তার পর্যালোচনা প্রক্রিয়াটি অতিক্রম করে নি। আরও একটি বিধিনিষেধ রয়েছে যা 'যাচাই করা হয়নি' জি স্যুট অ্যাপ্লিকেশনগুলিকে মাত্র 100 টি ইনস্টলের মধ্যে সীমাবদ্ধ করার চেষ্টা করে।
-সন্ধানকারীরা 1,392 জি স্যুট তৃতীয় পক্ষের অ্যাপ্লিকেশন বিশ্লেষণ করেছেন
তারা বাহ্যিক পরিষেবাগুলিতে সংযোগ স্থাপন করে 481 টি অ্যাপ্লিকেশন পেয়েছে
- এর মধ্যে 103 টিতে সম্পূর্ণ Google ড্রাইভ অ্যাক্সেস ছিল
- ৮১ এর পুরো জিমেইল অ্যাক্সেস ছিল
- 15 টিতে গুগল ক্যালেন্ডারের সম্পূর্ণ অ্যাক্সেস ছিল pic.twitter.com/NJzbUShzPy- ক্যাটালিন সিম্পানু (@ ক্যাম্পাসকোডি) জুন 220, 20
তবে গবেষকরা দাবি করেছেন যে তারা যাচাই করেছেন যে অনেকগুলি যাচাই করা অ্যাপ্লিকেশন পর্যালোচনা হওয়ার অপেক্ষায় থাকায় 100 টিরও বেশি ব্যবহারকারী অর্জন করেছে। এটি দৃ strongly়তার সাথে পরামর্শ দেয় যে গুগল ইচ্ছাকৃতভাবে '100 নতুন ব্যবহারকারী' কঠোর সীমাটি শিথিল করছে।
এই জাতীয় অনুশীলনগুলি বা নীতিমালার দুর্বল প্রয়োগগুলি গুগল ব্যবহারকারীদের কাছ থেকে ডেটা সংগ্রহের একমাত্র উদ্দেশ্য নিয়ে দোকানে সহজেই দূষিত অ্যাপ্লিকেশনগুলি আপলোড হতে পারে। গুগলের জি স্যুট প্যাকেজ ব্যবহারকারীদের বেশিরভাগ এন্টারপ্রাইজ খাত থেকে। এটি সামাজিক প্রকৌশল হ্যাক এবং অনুরূপ আক্রমণগুলির ঝুঁকিটিকে উল্লেখযোগ্যভাবে বৃদ্ধি করে ises
গবেষকরা অ্যাপ্লিকেশনগুলিকে প্রথমবারের জন্য নির্দিষ্ট অনুমোদনের সময়টি প্রক্রিয়াটি সরানো বা ইনস্টল প্রক্রিয়া থেকে অনুমতি চাওয়ার এবং অনুমতি দেওয়ার পরামর্শ দিয়েছেন। রেস এবং অভাবের দাবি, ইনস্টল-টাইম অনুমতিগুলি থেকে রান-টাইম অনুমতিগুলিতে সরে যাওয়া, সন্দেহজনক অ্যাপ্লিকেশনগুলি এবং ব্যাকট্র্যাক লক্ষ্য করা বা মঞ্জুরি দেওয়ার অনুমতি অস্বীকার করার সম্ভাবনাগুলিতে উল্লেখযোগ্যভাবে উন্নতি করে।
ট্যাগ গুগল
