Nulová denní chyba v aplikaci Google Admin umožňuje škodlivým aplikacím číst její soubory

Neoprávněná chyba zabezpečení v aplikaci Google Admin pro Android může dovolit nepoctivým aplikacím ukrást pověření, která by mohla být použita pro přístup k účtům Google for Work..

Jedním z hlavních aspektů modelu zabezpečení Android je to, že aplikace běží ve svých vlastních karanténách a nemohou navzájem číst citlivá data druhé strany prostřednictvím systému souborů. Existují API pro vzájemné interakce aplikací a výměnu dat, ale to vyžaduje vzájemnou dohodu.

Vědci z bezpečnostní poradenské firmy MWR InfoSecurity v U.K. však objevili chybu v aplikaci Google Admin, kterou by mohli potenciálně škodlivé aplikace využít k proniknutí do karantény aplikace a čtení jejích souborů..

Tato chyba spočívá ve způsobu, jakým Google Admin zpracovává a načítá adresy URL přijaté z jiných aplikací uvnitř WebView - zjednodušeného okna prohlížeče.

Pokud nečestná aplikace odešle Google Adminovi požadavek nebo „záměr“ v jazyce Android - s adresou URL směřující na místní světově čitelný soubor HTML, který ovládá nepoctivá aplikace, Google Admin načte kód souboru do WebView.

Útočník může do kódu HTML vložit prvek iframe, který po jednom vteřinovém zpoždění načte stejný soubor znovu, vysvětlili vědci ve zprávě publikované ve čtvrtek. Poté, co Google Admin načte kód HTML, ale před pokusem o načtení prvku iframe, může útočník nahradit původní soubor souborem, který má stejný název, ale funguje jako symbolický odkaz na soubor v aplikaci Google Admin..

WebView má mechanismus zabezpečení nazvaný Zásady stejného původu, který je přítomen ve všech prohlížečích a který brání webové stránce ve čtení nebo změně kódu načteného v prvku iframe, pokud stránka i prvek iframe nesdílejí stejný název a protokol původní domény..

Přestože kód načtený v prvku iframe patří do souboru Google Admin, jeho původ je stejný jako u souboru ze nepoctivé aplikace díky trikům symlink. To znamená, že původní kód HTML načtený ve WebView může načíst soubor Google Admin, který byl následně načten do prvku iframe, a předat jeho obsah do nečestné aplikace..

„Aplikace Google Admin pro Android umožňuje správci společnosti spravovat účty společnosti Gmail for Work z jeho telefonu s Androidem,“ řekl Robert Miller, vedoucí výzkumného pracovníka v oblasti bezpečnosti na MWR, e-mailem. „Soubor klíče v karanténě Google Admin je soubor, který obsahuje token, který aplikace používá k autentizaci se serverem. Škodlivá aplikace by mohla zneužít zranitelnost zjištěnou při čtení tohoto tokenu a pokusu o přihlášení k serveru Google for Work. “

Vědci MWR tvrdí, že tuto chybu zabezpečení nahlásili společnosti Google 17. března, ale ani poté, co společnosti poskytli prodloužení standardní lhůty pro zveřejnění 90 dnů, stále nebyla stanovena..

"Od zveřejnění nebyla zveřejněna žádná aktualizovaná verze," uvedli vědci v doporučení.

Google neodpověděl okamžitě na žádost o komentář.

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.