*
 
AfterDawn: IT-alan uutiset

Google Drive -sovellus tietokoneella avaa Gmailin tuntemattomillekin

Kirjoittaja Teemu Laitila @ 24.10.2012 17:42 Kommentteja (16)

Google Drive -sovellus tietokoneella avaa Gmailin tuntemattomillekin Googlen Drive-sovelluksen toimintatapa päästää tietokoneen muut käyttäjät käsiksi Google-tilin tietoihin, vaikka palvelusta kirjautuisi ulos selaimella. The H Security -sivusto huomioi, että takaovi sähköpostiin aukeaa avaamalla sovelluksesta Drive-palvelun nettinäkymä, josta on suora pääsy myös tunnuksiin liitettyihin muihin palveluihin.
Ongelmana on sovelluksen toteutustapa, jossa käytön kätevyys on asetettu tietoturvan edelle. Kun tiedostopalvelun avaa nettiselaimen kautta, sovellus kirjautuu automaattisesti Google-tilille, mikä avaa myös sähköpostin, kalenterin ja yhteystiedot uteliaiden tarkasteltavaksi. Koska salasana syötetään palveluun automaattisesti, edes Google-tililtä uloskirjautuminen ei pidä utealiaita ulkona.

Takaovi Google-palveluihin löytyy sekä OS X - että Windows-koneista. Ongelma on suurin jaetuilla koneilla, joille Google Drive -sovellusta ei kannata asentaa. Toisaalta myös pöydälle jäänyt läppäri, joka ei vaadi käynnistyksen yhteydessä salasanaa, on altis väärinkäytöksille. The H Security huomauttaa, että ongelmaa ei poista edes Googlen kaksivaiheinen kirjautuminen. Yksityisyydestään tarkkojen, mutta Drive-sovelluksen käytännöllisyyttä arvostavien on siis syytä pitää koneensa vähintään salasanalla suojattuna.

Asiasta kertoi suomeksi ensimmäisenä Tietoviikko.

Tägit: Google Drive
Edellinen Seuraava  

16 kommenttia

124.10.2012 18:30

Olihan tästä juttua muistaakseni jossain jo aiemminkin. Olisihan tuo tosiaan hyvä, että Google kyselisi käyttäjätiedot, jos yrittää avata Googlen palveluita Driven kautta.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 24.10.2012 @ 18:32

BSOD is a registered trademark of Microsoft Corporation | Windowsin lähdekoodi

224.10.2012 20:09

Tuo kertoo lähinnä Googlen asenteesta tietoturvaan.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 24.10.2012 @ 20:09

324.10.2012 20:38

Sama webbipalveluun selaimella automaattisesti kirjautuva ominaisuus taitaa olla Dropboxissakin, jos käyttää sen työpöytäohjelmaa.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 24.10.2012 @ 20:39

424.10.2012 21:54

Lainaus, alkuperäisen viestin kirjoitti Agent_007:
Sama webbipalveluun selaimella automaattisesti kirjautuva ominaisuus taitaa olla Dropboxissakin, jos käyttää sen työpöytäohjelmaa.

Näyttipä loggaavan Dropboxillakin. Googlen tapauksessa vakavampaa siitä kirjautumisesta tekee pääsy kaikkiin muihinkin Googlen tuotteisiin, kuten Gmailiin ja Google kalenteriin (jotka luonnollisesti sisältävät usein tärkeitä tietoja. Sähköpostin avulla voisi periaatteessa muuttaa nettipalveluiden salasanat sivujen 'unohtunut salasana'-toiminnolla).

BSOD is a registered trademark of Microsoft Corporation | Windowsin lähdekoodi

524.10.2012 22:35

Nyt on kyllä oikeen keksimällä keksitty uutinen. Samanlaisen uutisen voisi tehdä esim jokaisesta selaimesta kun niihin on yleensä mahdollista tallentaa eri palveluiden tunnuksia.

Jos koneeltasi olet kirjautunut googlen palveluihin, niin ei kai sitä jokaiseen palveluun tarvitse erikeen kirjoittaa kun sen kerran olet jo koneellesi tallentanut.

625.10.2012 2:42

Öö.. ei jaetuilla koneilla vaan jaetuilla käyttäjätileillä. Vähän sama jos kirjautuu Chrome-selaimeen omalla tunnuksellaan jossain julkisessa koneessa missä kaikki käyttävät samaa tunnusta. Voi jestas mitä uutisointia..

725.10.2012 7:09

Lainaus, alkuperäisen viestin kirjoitti tigeli:
Öö.. ei jaetuilla koneilla vaan jaetuilla käyttäjätileillä. Vähän sama jos kirjautuu Chrome-selaimeen omalla tunnuksellaan jossain julkisessa koneessa missä kaikki käyttävät samaa tunnusta. Voi jestas mitä uutisointia..
ÖÖö... eli onko hyvinkin yleistä että jokainen satunnainen käyttäjä luo oman käyttäjätilin esimerkiksi nettikahvilan koneelle, tai kirjaston koneelle?
Minä olen kuvitellut että niissä käytetään yleensä sitä samaa jaettua käyttäjätiliä (siinä jaetulla koneella)

Tämä on kyllä juuri niin Googlea, kun suureen ääneen kehutaan tietoturvallaan, ja sitten jätetään tällaisia elefantin mentäviä takaovia auki.

825.10.2012 11:25

Lainaus, alkuperäisen viestin kirjoitti perhana:
Lainaus, alkuperäisen viestin kirjoitti tigeli:
Öö.. ei jaetuilla koneilla vaan jaetuilla käyttäjätileillä. Vähän sama jos kirjautuu Chrome-selaimeen omalla tunnuksellaan jossain julkisessa koneessa missä kaikki käyttävät samaa tunnusta. Voi jestas mitä uutisointia..
ÖÖö... eli onko hyvinkin yleistä että jokainen satunnainen käyttäjä luo oman käyttäjätilin esimerkiksi nettikahvilan koneelle, tai kirjaston koneelle?
Minä olen kuvitellut että niissä käytetään yleensä sitä samaa jaettua käyttäjätiliä (siinä jaetulla koneella)

Tämä on kyllä juuri niin Googlea, kun suureen ääneen kehutaan tietoturvallaan, ja sitten jätetään tällaisia elefantin mentäviä takaovia auki.
Öööö... eli onko hyvin yleistä, että käyttäjä pääsee asentamaan nettikahvilan koneelle Google Drive-ohjelman, johon kirjautuu omilla tunnuksilla ja vielä jättää ohjelman koneelle käytön loputtua? Nyt ei ole kyseessä siis se, että siihen google driveen olisi kirjauduttu selaimella, vaan nimenomaan Google Drive ohjelman asennuksesta ja siitä että tuosta sovelluksesta pääsee suoraan kiinni sovellukseen tallennetun tunnuksen tietoihin.

925.10.2012 17:37

Tietokoneelle asennetun google talkin kautta pääse samalla tavalla käsiksi sähköposteihin ja muihin palveluihin, kuin google driven kautta. Onko tämä myös uusi suuri tietoturva aukko?

1025.10.2012 18:45

Tämänhän "ongelma" on samassa luokassa kuin kopiosi kaikki tiedostot kirjaston koneelle ja lähtisi pois. Eli taas täyttää huuhaata. Tämä on varmaan joku trollijuttu, ei näin typerää voi kukaan muukaan keksiä.
Tässä minun tietoturva uhka: Jos jätät muistitikun yleiselle paikalle joku voi viedä sen ja katsoa mitä siellä on. Älä käytä muistitikkuja, liimaa koneeseesi USB portit epoksiliimalla umpeen.

1125.10.2012 19:21

Juu sori nyt on päässyt unohtumaan että ei Googlen epäkohtia saa ääneen mainita, sehän on lähes jumalanpilkkaa ja loukkaa gUskovaisia... nyt äkkiä syviä kumarruksia nöyrien anteeksipyyntöjen kera...
ketä se nyt haittaa jos kylässä piipahtava sukulaispoika sattuu tietokonetta lainaamaan netissä piipahtamista varten, ja siinä samalla lukaisee jonkun yksityiset sähköpostit gmailista

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 25.10.2012 @ 19:22

1225.10.2012 19:35

Melkosen monella ihmisellä on selaimeen tallennettu monien sivustojen salasanoja, joiden avulla voit automaattisesti kirjautua eri palveluihin sisään. En koskaan kuullut, että tämä ominaisuus olisi tietoturva aukko. Mikä tekee google drivesta erikoistapauksen?

Jos pelkäät sukulaispoikasi selaavaan sähköpostejasi, niin tee ihmeessä vieras tili, jota hän voi käyttää.

1325.10.2012 20:56

Lainaus, alkuperäisen viestin kirjoitti Sakke88:
Melkosen monella ihmisellä on selaimeen tallennettu monien sivustojen salasanoja, joiden avulla voit automaattisesti kirjautua eri palveluihin sisään. En koskaan kuullut, että tämä ominaisuus olisi tietoturva aukko. Mikä tekee google drivesta erikoistapauksen?

Jos pelkäät sukulaispoikasi selaavaan sähköpostejasi, niin tee ihmeessä vieras tili, jota hän voi käyttää.
Ja sinun mielestäsi siinä että jokin tietokoneelle asennettava sovellus joka ei mitenkään selkeästi liity millään lailla sähköpostiin, mahdollistaa sen että kuka tahansa koneelle päässyt voi tämän sovelluksen kautta käyttää sähköpostitiliäsi, eikä sovelluksen asennusvaiheessa selkeästi tällaisesta varoiteta, ei ole mitään arveluttavaa.

1425.10.2012 23:56

Kyseessä ei kuitenkaan ole mikä tahansa kolmannenosapuolen sovellus. Google drive ja gmail ovat saman firman palveluita, joissa on täysin sama käyttäjätunnus ja salasana. Jos olet jo kertaalleen tallentanut google käyttäjätilin koneellesi, niin miksi sitä pitäisi kysyä uudestaan kun käytetään saman firman palveluita?
Melkosen suuri osa google driven käyttäjistä on varmasti myös gmailin käyttäjiä.

Tulevassa windows 8 käyttöjärjestelmässä ollaan tästä menty vielä huomattavasti pidemmälle. Koneelle kirjauduttaessa Microsoft-live tilillä aukeaa automaattisesti ovet kaikkiin live palveluihin esim- sähköpostiin, kalenteriin ja skdriveen.Onko tämäkin tietoturva aukko vaiko olisko kyseessä kuitenkin ominaisuus?

1526.10.2012 10:51
googlesucks
Vahvistamaton

Ei kai kukaan nykypäivänä sentään luo aktiivisia google-tilejä oikeilla tiedoillaan???

Jos vaikka kännyyn tarvii jotain softaa tilata niin sellainen kertakäyttötili on tietenkin syytä pankkikorttinumeron poiston jälkeen unohtaa ja hävittää kyseinen tili puhelimestakin. Perusroottaus tekee kaiken pyytämättömän 'päivitys'- ym tarpeettoman g-yhteydenottopaskan estävän palomuurin kanssa androidista kyllä tietosuojatumman systeemin kuin i ja w.

1626.10.2012 10:57
Hohhooooo
Vahvistamaton

Lainaus, alkuperäisen viestin kirjoitti Sakke88:
Melkosen monella ihmisellä on selaimeen tallennettu monien sivustojen salasanoja, joiden avulla voit automaattisesti kirjautua eri palveluihin sisään. En koskaan kuullut, että tämä ominaisuus olisi tietoturva aukko. Mikä tekee google drivesta erikoistapauksen?
Olisikohan se, että ne samat salasanoja tallentavat idiootit omana valintanaan tietävät(?) minkä palvelun tiedot ovat kyseessä, toisin kuin GD tekee sen salaa ja avaa MUITAKIN tietoja alttiiksi-huomaatko mitään eroa...

Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

iPhonen muisti täynnä? Näillä ohjeilla saat lisää tallennustilaa iPhonen muisti täynnä? Näillä ohjeilla saat lisää tallennustilaa (6.12.2016 13:53)
Jos omistat 16 gigatavun tallennusmuistilla varustetun iPhonen tai iPadin, on laitteesi näytöllä melko varmasti vilahtanut silloin tällöin Tallennustila melkein täynnä -varoitus, joka ilmoittaa ....
Kauppa ilman kassalla jonottamista – Amazon aikoo tehdä siitä totta Kauppa ilman kassalla jonottamista – Amazon aikoo tehdä siitä totta (6.12.2016 12:26)
Amazon on jo neljän vuoden ajan kehittänyt ruokakauppaa, josta voisi yksinkertaisesti lähteä pois kun ostokset on kerätty hyllyiltä kauppakassiin. Kassalla jonottaminen jäisi historiaan kokonaan. ....
3 kommenttia
Netflix lupaa tuplasti enemmän sisältöä – Panostaa tosi-TV:hen Netflix lupaa tuplasti enemmän sisältöä – Panostaa tosi-TV:hen (6.12.2016 11:17)
Netflix aikoo kaksinkertaistaa alkuperäistuotantojen ensi vuonna, kertoo yhtiön sisältöjohtaja Ted Sarandos. Tämän vuoden aikana Netflix saanut valmiiksi omia tuotantoja noin 500 tunnin verran ....
1 kommentti
VW yrittää kääntää autottomuuden voitoksi – Perusti uuden kyytipalvelun VW yrittää kääntää autottomuuden voitoksi – Perusti uuden kyytipalvelun (6.12.2016 10:26)
Kyytipalvelu Uber on omalla esimerkillään osoittanut, että sijoittajapiireissä liikkuu paljon rahaa toimivien liikennepalveluiden kehittäjille ja kaupunkien liikennöinnin uudistaminen voi olla ....
Microsoft perusti uuden chat-robotin – Politiikasta se ei saa puhua Microsoft perusti uuden chat-robotin – Politiikasta se ei saa puhua (6.12.2016 09:42)
Viime keväänä Microsoft esitteli tekoälyosaamistaan Tay-nimisellä Twitter-botilla, jonka luvattiin kykenevän keskustelemaan luontevasti muiden mikroblogipalvelun käyttäjien kanssa. Internet ....

Uutisarkisto