Zero-Day επιτρέπει την παράκαμψη του sandbox στο Google Admin

Μόλις αποκαλύφθηκε ένα κενό ασφαλείας (0Day ή Zero-Day) που επιτρέπει σε εφαρμογές τρίτων να παρακάμψουν τους περιορισμούς του sandbox στην κονσόλα του Google Admin.
Google Admin
Ο ερευνητής ασφαλείας Vahagn Vardanyan της MWR Labs αναφέρει ότι το ελάττωμα, ανακαλύφθηκε μέσα από την εφαρμογή Google Admin του , και επιτρέπει σε εφαρμογές τρίτων για να παρακάμψουν τους περιορισμούς sandbox και να διαβάσουν αυθαίρετα μέσω συμβολικών συνδέσμων.

Αν η κονσόλα λάβει μια διεύθυνση URL μέσω μιας κλήσης IPC κλήση από μια άλλη εφαρμογή που υπάρχει στην ίδια συσκευή, τα Android ανοίγει αυτόν τον σύνδεσμο χρησιμοποιώντας το WebView.

Ωστόσο, αν ένας εισβολέας χρησιμοποίησε ένα file:// URL, που οδηγεί σε κάποια ιστοσελίδα που ελέγχεται από τον ίδιο, τότε όπως αναφέρει ο Vardanyan είναι πιθανό να παρακαμφθεί η πολιτική προέλευσης και έτσι είναι σε θέση να ανακτήσει τα δεδομένα από το sandbox του Google Admin.

Έτσι εάν έχει εγκατασταθεί μια κακόβουλη εφαρμογή τρίτων και οι επιτιθέμενοι έχουν τον έλεγχο της θα είναι σε θέση να διαβάσουν δεδομένα από οποιοδήποτε αρχείο υπάρχει μέσα στο sandbox του Google Admin.

Σύμφωνα με τον ερευνητή, η ευπάθεια μπορεί να αξιοποιηθεί μετά όταν ενεργοποιηθεί το setup_url μέσω ενός συνδέσμου που αποστέλλεται, το οποίο στη συνέχεια προκαλεί ResetPinActivity και ενεργοποιεί το WebView με προνόμια κονσόλας του Google Admin. Ένας εισβολέας μπορεί να προσθέσει HTML σε αυτούς τους συνδέσμους, συμπεριλαμβάνοντας iframe – προκαλώντας ένα δευτερόλεπτο καθυστέρηση, ενώ ο αποστέλλεται στο WebView. Ο εισβολέας μπορεί στη συνέχεια να διαγράψει αυτό το αρχείο και να το αντικαταστήσει με ένα συμβολικό σύνδεσμο με το ίδιο όνομα που παραπέμπει σε ένα αρχείο του Google Admin.

Όμως ας μιλήσουμε λίγο για την υποκρισία της Google.
Το ελάττωμα υποβλήθηκε για πρώτη φορά στην Google στις 17 Μαρτίου. Στις 18 Μαρτίου, η ομάδα ασφαλείας της εταιρείας αναγνώρισε την έκθεση και στη συνέχεια ζήτησε δύο εβδομάδες για να αναπτύξει και να κυκλοφορήσει μια ενημερωμένη έκδοση με ένα patch.

Τον Ιούνιο, η MWR Labs ζήτησε να μάθει τι έγινε με το patch και λίγο αργότερα τον ίδιο μήνα η Google αναγνώρισε η είχε καθυστερήσει και ζήτησε άλλη μια προθεσμία πριν δημοσιευτεί στο κοινό.

Τον Ιούλιο, η εταιρεία ασφαλείας ανακοίνωσε τις προθέσεις της να δημοσιεύσει την ευπάθεια τον Αύγουστο.

Μέχρι σήμερα η Google δεν έχει κυκλοφορήσει καμία ενημέρωση που διορθώνει το . Για δική σας προστασία όσοι τε το Google Admin στη συσκευή σας δεν θα πρέπει να εγκαταστήσετε ή να χρησιμοποιήσετε οποιαδήποτε εφαρμογή τρίτων.

Η υποκρισία τώρα αν δεν έχετε καταλάβει ακόμα: η ομάδα ασφαλείας της Google Project Zero είναι γνωστή γιατί δημοσιεύσει ευπάθειες μετά την ενημέρωση των developers που ανέπτυξαν την εφαρμογή ή το λογισμικό που περιέχει την ευπάθεια. Πάντα όπως αναφέρει η πολιτική της εταιρείας δίνουν μια προθεσμία 90 ημερών. Μετά από αυτές τις 90 μέρες η ευπάθεια δημοσιεύεται στο κοινό αναγκάζοντας την εταιρεία να ενημερώσει άμεσα το προϊόν της. Η ομάδα Project Zero έχει αποκαλύψει ευπάθειες της Microsoft, της Adobe και της Apple χωρίς να δώσει ούτε μέρα παράταση στα deadlines.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).