Рекомендуем, 2019

Выбор редакции

Недостаток нулевого дня в приложении Google Admin позволяет вредоносным приложениям читать свои файлы

Неприемлемая уязвимость в приложении Google Admin для Android может позволить приложениям-изгоям красть учетные данные, которые могут быть использованы для доступа к подсчетам Google for Work.

Одним из основных аспектов модели безопасности Android является то, что приложения работают в своих песочницах и не могут считывать конфиденциальные данные друг друга через файловую систему. Существуют API-интерфейсы для приложений, которые взаимодействуют друг с другом и обмениваются данными, но для этого требуется взаимное согласие.

Но исследователи из консалтинговой фирмы по безопасности компании MWR InfoSecurity в Великобритании обнаружили недостаток в приложении Google Admin, которое может быть использовано потенциально вредоносными приложениями чтобы прорваться в песочницу приложения и прочитать его файлы.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Недостаток заключается в том, как Google Admin обрабатывает и загружает URL-адреса, полученные из других приложений внутри WebView- упрощенное окно браузера.

Если приложение-изгои отправляет Google Admin запрос или «намерение» на языке Android - с URL-адресом, указывающим на локальный читаемый в мире HTML-файл, который контролирует приложение-изгоев, Google Admin загрузит файл код в WebView.

Злоумышленник может помещать iframe внутри HTML-кода, который будет загружать тот же файл снова после задержки в одну секунду, исследователи MWR объяснили в консультативном опубликованном четверг. После того, как Google Admin загружает код HTML, но прежде чем он попытается загрузить iframe, злоумышленник может заменить исходный файл тем, у кого есть то же имя, но выступает в качестве символической ссылки на файл в приложении Google Admin.

WebView имеет механизм безопасности, называемый политикой «один и тот же источник», который присутствует во всех браузерах и который запрещает веб-странице читать или изменять код, загруженный в iframe, если обе страницы и iframe не имеют одинакового имени и протокола происхождения домена .

Несмотря на то, что код, загруженный в iframe, принадлежит файлу администратора Google, его начало совпадает с исходным кодом файла из приложения-изгоя благодаря трюку symlink. Это означает, что исходный HTML-код, загруженный в WebView, может считывать файл администратора Google, который впоследствии загружается в iframe, передавая его содержимое в приложение-изгои.

«Приложение Google Admin для Android позволяет администратору компании управлять Gmail своей компании для Работайте со своим телефоном Android, - сказал Роберт Миллер, старший исследователь по безопасности в MWR, по электронной почте. «Ключевой файл в песочнице Google Admin - это файл с токеном, который используется приложением для аутентификации с сервером. Вредоносная программа может использовать уязвимость, обнаруженную для чтения этого токена, и попытаться войти в систему на сервере Google for Work. »

Исследователи MWR утверждают, что они сообщали об этой уязвимости для Google 17 марта, но даже после предоставления компании расширение до стандартного 90-дневного срока раскрытия информации, оно по-прежнему не исправлено.

«Никакая обновленная версия не была выпущена со времени публикации», - сказали исследователи MWR в консультациях.

Google не немедленно ответьте на запрос для комментариев.

Top