Chyba v aplikaci Google Admin umožňuje zneužití Google účtů

Bezpečnostní pracovníci Androidu zažívají náročný měsíc. Po hrozbě Stagefrightu (více zde), která se objevila před pár dny, musí řešit díru v aplikaci Google Admin, správci administrátorského účtu Google Apps. Ta útočníkovi umožňuje obejít androidí sandboxy a dostat se tak k citlivým datům pracovních účtů Google. Chyba spočívá ve způsobu, jakým Google Admin zpracovává některé URL adresy.

Bezpečnostní model Androidu je založený na tom, že jednotlivé aplikace běží ve vlastních sandboxech, tudíž se vzájemně nemůžou dostat k citlivým datům prostřednictvím souborového systému. Komunikovat a vyměňovat data si sice mohou skrz API rozhraní, takové počínání ale vyžaduje udělení oboustranného souhlasu.

Výzkumníci z MWR InfoSecurity teď ale v aplikaci Google Admin objevili díru, díky které mohou škodlivé aplikace tyto sandboxy obejít a dostat se tak k citlivým datům.

Díra se podle nich nachází v procesu, kterým Google Admin zpracovává URL z jiných aplikací prostřednictvím komponenty WebView. Jestliže škodlivá aplikace zašle do Google Admin „žádost“ s URL odkazujícím na jí kontrolovaný HTML soubor, Google Admin nahraje jeho kód do WebView.

Útočník ale do tohoto kódu může vložit iframe, který s drobným zpožděním nahraje soubor znovu, a v rámci tohoto procesu může původní soubor nahradit jiným, se stejným jménem. Google Admin ho tak považuje za vlastní, útočník však díky němu může získat přístup k datům, s nimiž aplikace pracuje.

„Google Admin pro Androidy umožňuje administrátorům spravovat firemní Gmail účty přímo z jejich mobilních telefonů. Klíčový soubor v sandboxu Google Admin obsahuje autentizační token pro komunikaci se serverem, který ale může škodná aplikace díky objevené chybě zneužít a pokusit se přihlásit k serveru Google for Work,“ přibližuje Robert Miller, jeden z pracovníků týmu MWR, kteří na chybu narazili.

Podle nich se tak stalo už v půli března, kdy o ní rovnou informovali Google, ten ji ale dosud ani po opakované urgenci neopravil ani se k ní nevyjádřil. MWR proto o chybě informovalo v oficiální zprávě. Zda je zneužitelná i v rámci ostatních mobilních operačních systémů, autoři neuvádí.