Błąd zero dni w aplikacji Google Admin pozwala złośliwym aplikacjom czytać jego pliki

Niezałatana luka w zabezpieczeniach aplikacji Google Admin na Androida może pozwalać nieuczciwym aplikacjom na kradzież danych uwierzytelniających, które mogłyby zostać wykorzystane do uzyskania dostępu do kont Google for Work.

Jednym z głównych aspektów modelu bezpieczeństwa Androida jest to, że aplikacje działają w swoich własnych obszarach izolowanych i nie mogą odczytywać poufnych danych przez system plików. Istnieją interfejsy API do interakcji między aplikacjami i wymiany danych, ale wymaga to wzajemnego porozumienia.

Ale badacze z firmy doradczej MWR InfoSecurity w Wielkiej Brytanii odkryli lukę w aplikacji Google Admin, którą potencjalnie złośliwe aplikacje mogłyby wykorzystać do włamania się do piaskownicy aplikacji i odczytania jej plików.

Wada polega na sposobie, w jaki Google Admin przetwarza i ładuje adresy URL otrzymane z innych aplikacji wewnątrz WebView - uproszczonego okna przeglądarki.

Jeśli nieuczciwa aplikacja wysyła do administratora Google żądanie lub „zamiar” w języku Androida, z adresem URL wskazującym na czytelny na całym świecie plik HTML, który kontroluje nieuczciwa aplikacja, administrator Google załaduje kod tego pliku do WebView.

Atakujący może umieścić w kodzie HTML ramkę iframe, która ponownie załaduje ten sam plik po upływie jednej sekundy, wyjaśniają badacze MWR w poradniku opublikowanym w czwartek. Po tym, jak Google Admin ładuje kod HTML, ale zanim spróbuje załadować ramkę iframe, atakujący może zastąpić oryginalny plik plikiem o tej samej nazwie, ale działającym jako symboliczny link do pliku w aplikacji Google Admin.

WebView ma mechanizm bezpieczeństwa o nazwie Zasady tego samego pochodzenia, który jest obecny we wszystkich przeglądarkach i który uniemożliwia stronie internetowej odczyt lub zmianę kodu załadowanego w ramce iframe, chyba że zarówno strona, jak i ramka iframe mają tę samą nazwę domeny pochodzenia i protokół.

Mimo że kod załadowany do elementu iframe należy do pliku administracyjnego Google, jego pochodzenie jest takie samo jak pliku z fałszywej aplikacji dzięki sztuczce dowiązania symbolicznego. Oznacza to, że oryginalny kod HTML załadowany do WebView może odczytać plik administratora Google załadowany następnie w ramce iframe, przekazując jego zawartość do nieuczciwej aplikacji.

„Aplikacja Google Admin na Androida pozwala administratorowi firmy zarządzać firmowymi kontami Gmail for Work z jego telefonu z Androidem” - powiedział Robert Miller, starszy analityk ds. Bezpieczeństwa w MWR, za pośrednictwem poczty elektronicznej. „Plik klucza w piaskownicy administracyjnej Google to plik zawierający token, którego aplikacja używa do uwierzytelnienia się na serwerze. Złośliwa aplikacja może wykorzystać lukę, którą można odczytać, aby odczytać ten token i spróbować zalogować się na serwerze Google for Work ”.

Naukowcy z MWR twierdzą, że zgłosili lukę w zabezpieczeniach Google 17 marca, ale nawet po przyznaniu firmie przedłużenia standardowego 90-dniowego terminu ujawnienia, nadal nie został naprawiony.

„Żadna zaktualizowana wersja nie została wydana w chwili publikacji”, powiedzieli badacze MWR w poradniku.

Google nie zareagowało natychmiast na prośbę o komentarz.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.