Säkerhetshålet i Google Drive

• Nikke Lindqvist
• 12 år ago
• Categories: Okategoriserade
• Tags: buggar, Google, Google Drive, Googleism, idg, Säkerhet

Jag tillhör den där gruppen som verkligen gillar nyheter om säkerhetshål, och alltid försöker upprepa dem när jag hör talas om dem, så när IDGs CloudMagazine rapporterar om en bakdörr som lämnar hela ditt Google-konto öppet så blev jag förstås nyfiken.  Nyheten kom ursprungligen från The H Security, och nyheten väcker en del frågor, men främst faktiskt, frågor om hur vi definierar säkerhet, och hur säkert vi själva beter oss.

Så vad har rapporterats? Jo, att om du loggar ut från ditt Google-konto, så kan man fortfarande, genom att välja något av menyalternativen Besök Google Drive på webben eller Visa objekt som delas med mig, komma rätt in i Google-kontot, utan att behöva logga in på Google-kontot igen. (Och när du väl är inne på Google Drive så har du, eftersom Google sedan mars har synkroniserat hela din Google-tillvaro, komma åt alla dina Google-aktiviteteter.)

Självklart är detta, så som det beskrivs, ett gigantiskt säkerhetshål.

Men, så som säkerhetshålet är definierat, så krävs det även att

• någon har fysisk tillgång till min dator
• att min dator inte är lösenordsskyddad, och
• att datorn  inte har stängts av, eller att jag inte har loggat ut från mitt konto på datorn.

Om bara en av de ovan nämnda säkerhetsåtgärderna är på plats, så går det naturligtvis inte att återupprepa felet.

Dessutom krävs det, om jag har tvåpartsautentisering inställd på min dator, att jag har angett datorn som säker, så att Google inte vill att jag ska logga in varje gång.

Felet uppstår alltså när jag lämnar min dator vidare till en kollega, en kompis, ett barn eller någon annan nyfiken person, utan att först logga ut från mitt konto på datorn, så finns säkerhetsfelet. Då släpps man utan vidare in på Google-kontot som Google Drive är kopplat till, med full tillgång till allting.

För de allra flesta användare så ligger alltså säkerhetshålet på ett betydligt grundare plan. De allra flesta jag känner har inte satt ett lösenord på sin dator över huvud taget. De som har det, har ofta inget lösenord för att väcka datorn ut vila, och nästan ingen har lösenord som aktiveras när datorn inte har rörts på några minuter. Och de allra flest är alltid inloggade på Google, Facebook, Dropbox, Twitter och ofta även på företagets intranet eller offentliga webbplats.

Utan att försvara Google (som uppenbarligen inte tänkt riktigt klart kring det här – Dropbox har faktiskt, i det här fallet, högre säkerhet) så tycker jag att vi måste fråga oss om inte vi användare är den största säkerhetsrisken i det här fallet. Och jag erkänner villigt att jag, ibland, och i synnerhet från min Mac, tillhör de som syndar och ofta lämnar vidare min dator, inloggad på mitt eget konto. På min ChromeBook däremot, får den som vill låna, själv logga in på sitt eget Google-konto, eller skapa ett gästkonto, vilket gör hela hanteringen betydligt säkrare.

En avslutande bild angående säkerhet, efter tips från @krenaud: