Nul-dages fejl i Google Admin-app tillader ondsindede apps at læse dens filer

En uovertruffen sårbarhed i Google Admin-applikationen til Android kan tillade, at useriøse applikationer stjæler legitimationsoplysninger, der kan bruges til at få adgang til Google for Work-konti.

Et af hovedaspekterne i Android-sikkerhedsmodellen er, at apps kører i deres egne sandkasser og ikke kan læse hinandens følsomme data gennem filsystemet. Der er API'er til applikationer, der skal interagere med hinanden og udveksle data, men dette kræver gensidig aftale.

Men forskere fra sikkerhedskonsulentfirmaet MWR InfoSecurity i Storbritannien opdagede en fejl i Google Admin-appen, der kunne udnyttes af potentielt ondsindede applikationer til at bryde ind i appens sandkasse og læse dens filer.

Fejlen ligger i den måde, Google Admin behandler og indlæser webadresser modtaget fra andre applikationer i et WebView - et forenklet browservindue.

Hvis en useriøs applikation sender Google Admin en anmodning eller "hensigt" i Android-parlance-med en URL, der peger på en lokal verdenslæselig HTML-fil, som den useriøse app kontrollerer, indlæser Google Admin filens kode i en WebView.

Angriberen kan sætte en iframe inde i HTML-koden, der indlæser den samme fil igen efter en sekunds forsinkelse, forklarede MWR-forskerne i en rådgivende offentliggjort torsdag. Efter at Google Admin har indlæst HTML-koden, men inden den forsøger at indlæse iframe, kan angriberen erstatte den originale fil med en, der har samme navn, men fungerer som et symbolsk link til en fil i Google Admin-appen, sagde de.

WebView har en sikkerhedsmekanisme kaldet Samme-oprindelsespolitik, der er til stede i alle browsere, og som forhindrer en webside i at læse eller ændre kode, der er indlæst i en iframe, medmindre både siden og iframe deler det samme oprindelsesdomænenavn og protokol.

Selvom koden, der er indlæst i iframe, hører til en Google Admin-fil, er dens oprindelse den samme som filen for filen fra den useriøse applikation takket være symlink-tricket. Dette betyder, at den originale HTML-kode, der er indlæst i WebView, kan læse Google Admin-filen, der derefter er indlæst i iframe, og overføre dens indhold til den useriøse app.

"Google Admin-appen til Android lader virksomhedsadministratoren administrere deres virksomheds Gmail for Work-konti fra hans eller hendes Android-telefon," sagde Robert Miller, senior sikkerhedsforsker ved MWR, via e-mail. ”En nøglefil i Google Admin-sandkassen er en fil med et token, der bruges af appen til at autentificere sig selv med serveren. En ondsindet app kan udnytte den sårbarhed, der blev fundet for at læse dette token, og forsøge at logge ind på Google for Work-serveren. ”

MWR-forskerne hævder, at de rapporterede sårbarheden til Google den 17. marts, men selv efter at have tildelt virksomheden en forlængelse af den almindelige frist på 90 dage til offentliggørelse, er den stadig ikke løst.

"Der er ikke blevet frigivet nogen opdateret version fra tidspunktet for offentliggørelsen," sagde forskere i MWR i det rådgivende.

Google svarede ikke straks på en anmodning om kommentar.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.