Rekommenderas, 2019

Redaktionen

Nollagdsfel i Google Admin app tillåter skadliga appar att läsa sina filer

En oöverträffad sårbarhet i Googles administratörsapplikation för Android kan tillåta oseriösa applikationer att stjäla referenser som kan användas för åtkomst till Google for Work-acccounts.

En av huvudaspekterna i Android-säkerhetsmodellen är att Appar körs i sina egna sandlådor och kan inte läsa varandras känsliga data via filsystemet. Det finns API för applikationer att interagera med varandra och utbyta data, men det krävs ömsesidig överenskommelse.

Men forskare från säkerhetsrådgivning MWR InfoSecurity i Storbritannien upptäckte ett fel i Google Admin-appen som kan utnyttjas av potentiellt skadliga program

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Felet ligger i hur Google Administrerar processer och laddar webbadresser som tagits emot från andra program i en WebView- ett förenklat webbläsarfönster.

Om en oseriös ansökan skickar Google Admin till en förfrågan eller en "avsikt" i Android-versionen - med en webbadress som pekar på en lokal världsläsbar HTML-fil som den skurkrollade appen kontrollerar, laddar Google Admin filen kod i en WebView.

Hållaren kan lägga in en iframe i HTML-koden som kommer att ladda samma fil igen efter en sekundsfördröjning, förklarade MWR-forskarna i en rådgivande publicerad torsdag. Efter att Google Admin laddar HTML-koden, men innan den försöker ladda om iframe kan angriparen ersätta originalfilen med en som har samma namn men fungerar som en symbolisk länk till en fil i Google Admin-appen, sa de.

WebView har en säkerhetsmekanism som heter Same-Origin Policy som finns i alla webbläsare och som förhindrar att en webbsida läser eller ändrar kod som är laddad i en iframe såvida inte både sidan och iframe delar samma ursprungsdomenamn och protokoll .

Även om koden som är laddad i iframe tillhör en Google-administratorfil, är dess ursprung densamma som för filen från den skurkliga applikationen tack vare symlink-tricket. Det betyder att den ursprungliga HTML-koden i WebView kan läsa Google Admin-filen som laddades sedan i iframe och skickade innehållet till den skurkrollade appen.

"Google Admin-appen för Android låter företagets administratör hantera företagets Gmail för Arbeta konton från hans eller hennes Android-telefon ", säger Robert Miller, senior säkerhetsforskare vid MWR, via e-post. "En nyckelfil i Googles administratörsandlåda är en fil som innehåller en token som används av appen för att autentisera sig med servern. En skadlig app kan utnyttja sårbarheten som hittades för att läsa den här symbolen och försöka logga in på Google for Work-servern. "

MWR-forskarna hävdar att de rapporterade sårbarheten mot Google den 17 mars, men även efter att företaget beviljades ett Utvidgningen till den normala tidsfristen för offentliggörande av 90 dagar har ännu inte fastställts.

"Ingen uppdaterad version har släppts från tidpunkten för offentliggörandet", säger MWR-forskarna i det rådgivande. svara omedelbart på en begäran om kommentar.

Top