Google Drive -sovellus tietokoneella avaa Gmailin tuntemattomillekin
Googlen Drive-sovelluksen toimintatapa päästää tietokoneen muut käyttäjät käsiksi Google-tilin tietoihin, vaikka palvelusta kirjautuisi ulos selaimella. The H Security -sivusto huomioi, että takaovi sähköpostiin aukeaa avaamalla sovelluksesta Drive-palvelun nettinäkymä, josta on suora pääsy myös tunnuksiin liitettyihin muihin palveluihin.
Ongelmana on sovelluksen toteutustapa, jossa käytön kätevyys on asetettu tietoturvan edelle. Kun tiedostopalvelun avaa nettiselaimen kautta, sovellus kirjautuu automaattisesti Google-tilille, mikä avaa myös sähköpostin, kalenterin ja yhteystiedot uteliaiden tarkasteltavaksi. Koska salasana syötetään palveluun automaattisesti, edes Google-tililtä uloskirjautuminen ei pidä utealiaita ulkona.
Takaovi Google-palveluihin löytyy sekä OS X - että Windows-koneista. Ongelma on suurin jaetuilla koneilla, joille Google Drive -sovellusta ei kannata asentaa. Toisaalta myös pöydälle jäänyt läppäri, joka ei vaadi käynnistyksen yhteydessä salasanaa, on altis väärinkäytöksille. The H Security huomauttaa, että ongelmaa ei poista edes Googlen kaksivaiheinen kirjautuminen. Yksityisyydestään tarkkojen, mutta Drive-sovelluksen käytännöllisyyttä arvostavien on siis syytä pitää koneensa vähintään salasanalla suojattuna.
Asiasta kertoi suomeksi ensimmäisenä Tietoviikko.
16 KOMMENTTIA
ep_1/16
Olihan tästä juttua muistaakseni jossain jo aiemminkin. Olisihan tuo tosiaan hyvä, että Google kyselisi käyttäjätiedot, jos yrittää avata Googlen palveluita Driven kautta.
Lumikki2/16
Tuo kertoo lähinnä Googlen asenteesta tietoturvaan.
Agent_0073/16
Sama webbipalveluun selaimella automaattisesti kirjautuva ominaisuus taitaa olla Dropboxissakin, jos käyttää sen työpöytäohjelmaa.
ep_4/16
Näyttipä loggaavan Dropboxillakin. Googlen tapauksessa vakavampaa siitä kirjautumisesta tekee pääsy kaikkiin muihinkin Googlen tuotteisiin, kuten Gmailiin ja Google kalenteriin (jotka luonnollisesti sisältävät usein tärkeitä tietoja. Sähköpostin avulla voisi periaatteessa muuttaa nettipalveluiden salasanat sivujen 'unohtunut salasana'-toiminnolla).
Sakke885/16
Nyt on kyllä oikeen keksimällä keksitty uutinen. Samanlaisen uutisen voisi tehdä esim jokaisesta selaimesta kun niihin on yleensä mahdollista tallentaa eri palveluiden tunnuksia.
Jos koneeltasi olet kirjautunut googlen palveluihin, niin ei kai sitä jokaiseen palveluun tarvitse erikeen kirjoittaa kun sen kerran olet jo koneellesi tallentanut.
tigeli6/16
Öö.. ei jaetuilla koneilla vaan jaetuilla käyttäjätileillä. Vähän sama jos kirjautuu Chrome-selaimeen omalla tunnuksellaan jossain julkisessa koneessa missä kaikki käyttävät samaa tunnusta. Voi jestas mitä uutisointia..
perhana7/16
ÖÖö... eli onko hyvinkin yleistä että jokainen satunnainen käyttäjä luo oman käyttäjätilin esimerkiksi nettikahvilan koneelle, tai kirjaston koneelle?
Minä olen kuvitellut että niissä käytetään yleensä sitä samaa jaettua käyttäjätiliä (siinä jaetulla koneella)
Tämä on kyllä juuri niin Googlea, kun suureen ääneen kehutaan tietoturvallaan, ja sitten jätetään tällaisia elefantin mentäviä takaovia auki.
SubSonic8/16
Öööö... eli onko hyvin yleistä, että käyttäjä pääsee asentamaan nettikahvilan koneelle Google Drive-ohjelman, johon kirjautuu omilla tunnuksilla ja vielä jättää ohjelman koneelle käytön loputtua? Nyt ei ole kyseessä siis se, että siihen google driveen olisi kirjauduttu selaimella, vaan nimenomaan Google Drive ohjelman asennuksesta ja siitä että tuosta sovelluksesta pääsee suoraan kiinni sovellukseen tallennetun tunnuksen tietoihin.
Sakke889/16
Tietokoneelle asennetun google talkin kautta pääse samalla tavalla käsiksi sähköposteihin ja muihin palveluihin, kuin google driven kautta. Onko tämä myös uusi suuri tietoturva aukko?
PetriR10/16
Tämänhän "ongelma" on samassa luokassa kuin kopiosi kaikki tiedostot kirjaston koneelle ja lähtisi pois. Eli taas täyttää huuhaata. Tämä on varmaan joku trollijuttu, ei näin typerää voi kukaan muukaan keksiä.
Tässä minun tietoturva uhka: Jos jätät muistitikun yleiselle paikalle joku voi viedä sen ja katsoa mitä siellä on. Älä käytä muistitikkuja, liimaa koneeseesi USB portit epoksiliimalla umpeen.
perhana11/16
Juu sori nyt on päässyt unohtumaan että ei Googlen epäkohtia saa ääneen mainita, sehän on lähes jumalanpilkkaa ja loukkaa gUskovaisia... nyt äkkiä syviä kumarruksia nöyrien anteeksipyyntöjen kera...
ketä se nyt haittaa jos kylässä piipahtava sukulaispoika sattuu tietokonetta lainaamaan netissä piipahtamista varten, ja siinä samalla lukaisee jonkun yksityiset sähköpostit gmailista
Sakke8812/16
Melkosen monella ihmisellä on selaimeen tallennettu monien sivustojen salasanoja, joiden avulla voit automaattisesti kirjautua eri palveluihin sisään. En koskaan kuullut, että tämä ominaisuus olisi tietoturva aukko. Mikä tekee google drivesta erikoistapauksen?
Jos pelkäät sukulaispoikasi selaavaan sähköpostejasi, niin tee ihmeessä vieras tili, jota hän voi käyttää.
perhana13/16
Ja sinun mielestäsi siinä että jokin tietokoneelle asennettava sovellus joka ei mitenkään selkeästi liity millään lailla sähköpostiin, mahdollistaa sen että kuka tahansa koneelle päässyt voi tämän sovelluksen kautta käyttää sähköpostitiliäsi, eikä sovelluksen asennusvaiheessa selkeästi tällaisesta varoiteta, ei ole mitään arveluttavaa.
Sakke8814/16
Kyseessä ei kuitenkaan ole mikä tahansa kolmannenosapuolen sovellus. Google drive ja gmail ovat saman firman palveluita, joissa on täysin sama käyttäjätunnus ja salasana. Jos olet jo kertaalleen tallentanut google käyttäjätilin koneellesi, niin miksi sitä pitäisi kysyä uudestaan kun käytetään saman firman palveluita?
Melkosen suuri osa google driven käyttäjistä on varmasti myös gmailin käyttäjiä.
Tulevassa windows 8 käyttöjärjestelmässä ollaan tästä menty vielä huomattavasti pidemmälle. Koneelle kirjauduttaessa Microsoft-live tilillä aukeaa automaattisesti ovet kaikkiin live palveluihin esim- sähköpostiin, kalenteriin ja skdriveen.Onko tämäkin tietoturva aukko vaiko olisko kyseessä kuitenkin ominaisuus?
googlesucks (vahvistamaton)15/16
Ei kai kukaan nykypäivänä sentään luo aktiivisia google-tilejä oikeilla tiedoillaan???
Jos vaikka kännyyn tarvii jotain softaa tilata niin sellainen kertakäyttötili on tietenkin syytä pankkikorttinumeron poiston jälkeen unohtaa ja hävittää kyseinen tili puhelimestakin. Perusroottaus tekee kaiken pyytämättömän 'päivitys'- ym tarpeettoman g-yhteydenottopaskan estävän palomuurin kanssa androidista kyllä tietosuojatumman systeemin kuin i ja w.
Hohhooooo (vahvistamaton)16/16
Olisikohan se, että ne samat salasanoja tallentavat idiootit omana valintanaan tietävät(?) minkä palvelun tiedot ovat kyseessä, toisin kuin GD tekee sen salaa ja avaa MUITAKIN tietoja alttiiksi-huomaatko mitään eroa...
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT