Чужую почту на Gmail может читать любой разработчик для Android

Безопасность Стратегия безопасности Пользователю Интернет Техника
мобильная версия
, Текст: Дмитрий Степанов
Несмотря на то, что Google уже более года не использует данные переписки пользователей Gmail для подбора персонализированной контекстной рекламы, сторонние компании и разработчики приложений по-прежнему имеют к ней доступ и не гнушаются использовать это в собственных интересах.

Посторонние лица годами читают переписку миллионов пользователей

Разработчики сторонних приложений имеют доступ к почтовой переписке миллионов пользователей сервиса Gmail и активно этим пользуются. Об этом сообщило издание The Wall Street Journal.

Настройки доступа Gmail позволяют разработчикам приложений и компаниям, занимающимся сбором и анализом данных, просматривать сообщения и персональные данные пользователей. Несмотря на то, что предоставление доступа к почте осуществляется исключительно с согласия пользователя – при установке или запуске приложения, требующего доступ к переписке, ОС Android попросит подтвердить желание поделиться личной перепиской – не вполне очевидно, что ее смогут читать не только машинные алгоритмы, но и живые люди.

По заявлению Google, почтовые сообщения передаются только тщательно проверенным сторонним разработчикам. В процессе проверки сотрудники Google выясняют, необходим ли сбор подобной информации приложению для его успешного функционирования. Например, почтовому клиенту совершенно точно необходим доступ к учетной записи Gmail. Как утверждает Google, множество заявок от сторонних разработчиков отклоняется, однако же компания не приводит конкретных данных о том, сколько именно.

sampleapplicationnewrequest600.jpg
Приложение запрашивает разрешение на управление учетной записью Gmail

Среди «надежных» компаний, заглядывающих в почтовые ящики пользователей Gmail, значатся Return Path и Edison Software. Корреспондентам The Wall Street Journal удалось связаться с представителями обеих компаний и выяснить, что работники этих фирм вручную анализируют сотни писем, чтобы в результате обучить машинные алгоритмы автоматически обрабатывать подобные данные.

Сотрудники Google также могут читать письма пользователей, но лишь в особых случаях, когда пользователь дает на это однозначное согласие. К примеру, технической поддержке компании может потребоваться доступ к почте пользователя, заявившего о взломе учетной записи Google.

Как бы то ни было, возможностью читать почтовую переписку обладает множество программ и компаний, в том числе популярный пакет Microsoft Office. По данным The Wall Street Journal, Gmail не единственный сервис, практикующий «слив» персональных данных и переписки своих клиентов. Иные почтовые службы, вероятно, занимаются тем же.

Прекращение таргетирования через Gmail

О том, что право пользователя на тайну переписки не является для Google нерушимой фундаментальной ценностью, стало ясно достаточно давно. Лишь в июне 2017 г. компания полностью отказалась от сканирования почтовых сообщений клиентов с целью подбора наиболее подходящей контекстной рекламы, поскольку данный подход оказался неэффективным. Как выяснилось, у компании есть иные источники для более качественного таргетирования.

Стоит отметить, что почта подписчиков платного корпоративного сервиса G Suite, если верить Google, никогда не подвергалась анализу машинными алгоритмами.

Инцидент с Google Docs

В настоящее время сложно оценить добросовестность сторонних разработчиков, собирающих персональные данные пользователей и их переписку. Даже если предположить, что их цели благородны, а намерения чисты, надежность и безопасность самой системы получения доступа к данным, выстроенной Google, так или иначе остается под вопросом.

Не будет лишним вспомнить инцидент, произошедший в начале мая 2017 г., когда неизвестные злоумышленники запустили необычную фишинговую кампанию при помощи поддельного приложения Google Docs.

Пользователь получал письмо от одного из своих контактов. Внутри письма находилась ссылка якобы на документ Google Docs. При переходе по ссылке пользователь перенаправлялся на фальшивый экран выбора учетной записи Google, визуально практически не отличимый от оригинального. Невнимательный пользователь, не ожидающий подвоха, выбирал нужную учетную запись и предоставлял мошенникам необходимые разрешения. Таким образом, злоумышленники получали доступ к списку контактов пользователя и его аккаунту.

Приложение моментально распространялось по списку контактов жертвы, рассылая его знакомым аналогичные ссылки на поддельные документы Google Docs.

К счастью, инженеры Google оперативно отреагировали на инцидент и приняли меры по устранению уязвимости – все поддельные приложения были деактивированы.