Uma vulnerabilidade não corrigida no aplicativo Google Admin para Android permitiria que aplicativos maliciosos roubem credenciais usadas para acessar contas do Google for Work.
Um dos principais aspectos do modelo de segurança do Android é que os aplicativos são executados em suas próprias sandboxes e os mesmos não conseguem ler dados sensíveis uns dos outros através do sistema de arquivos. Existem APIs para aplicações interagirem umas com as outras e trocar dados, no entanto isso requer comum acordo.
Mas pesquisadores da empresa de segurança MWR InfoSecurity, no Reino Unido, descobriram uma falha no aplicativo em questão que pode ser explorada por outros aplicativos potencialmente maliciosos para invadir a sandbox e ler seus arquivos.
Segundo os pesquisadores, a falha reside na maneira do Google Admin processar e carregar URLs recebidas de outras aplicações dentro de um WebView - uma janela simplificada do navegador.
Se um aplicativo não autorizado enviar um pedido ao Google Admin - ou uma "intenção" - com uma URL que aponta para um arquivo local HTML, lido por todos os controles de aplicativos maliciosos, o Google Admin então irá carregar o código em um WebView.
O hacker, então, pode colocar um iframe dentro do código HTML que irá, novamente, carregar o mesmo arquivo, explicaram os pesquisadores da MWR em comunicado publicado nesta quinta-feira (13).
Depois o Google Admin carregará o código HTML, mas antes que ele tente carregar o iframe, o invasor poderia substituir o arquivo original com um que carrega o mesmo nome, mas funciona como uma ligação simbólica para um arquivo dentro do aplicativo.
O WebView tem um mecanismo de segurança chamado Same-Origin Policy que está presente em todos os navegadores e que impede que uma página Web leia ou altere o código carregado em um iframe, a menos que tanto a página e iframe tenham a mesma origem - nome de domínio e protocolo.
Mesmo que o código carregado pertença a um arquivo do Google Admin, sua origem é a mesma que a do arquivo malicioso graças a um truque. Isto significa que o código HTML original carregado no WebView pode ler o arquivo de administração do Google posteriormente carregado, passando o seu conteúdo para o aplicativo malicioso.
"O aplicativo Google Admin para Android permite que o administrador gerencie o Gmail da sua empresa para contas corporativas a partir de seu telefone Android", disse Robert Miller, pesquisador sênior de segurança da MWR, via e-mail.
"Um arquivo-chave no sandbox do Google Admin trata-se de um arquivo contendo um token que é usado pelo aplicativo para se autenticar com o servidor. Um aplicativo mal-intencionado poderia explorar a vulnerabilidade encontrada para ler esse símbolo e tentar fazer o login no servidor do Google for Work".
Os pesquisadores da MWR afirmam que a brecha foi relatada ao Google no dia 17 de março, mas mesmo após a concessão da empresa, uma extensão do prazo de divulgação de 90 dias ainda não foi fixada.
"Nenhuma versão atualizada foi lançada a partir do momento da publicação", informaram os investigadores MWR disse no comunicado.
Via: IDGNow
Nenhum comentário:
Postar um comentário