Μόλις αποκαλύφθηκε ένα κενό ασφαλείας (0Day ή Zero-Day) που επιτρέπει σε εφαρμογές τρίτων να παρακάμψουν τους περιορισμούς του sandbox στην κονσόλα του Google Admin.
Ο ερευνητής ασφαλείας Vahagn Vardanyan της MWR Labs αναφέρει ότι το ελάττωμα, ανακαλύφθηκε μέσα από την εφαρμογή Google Admin του Android, και επιτρέπει σε εφαρμογές τρίτων για να παρακάμψουν τους περιορισμούς sandbox και να διαβάσουν αυθαίρετα αρχεία μέσω συμβολικών συνδέσμων.
Αν η κονσόλα λάβει μια διεύθυνση URL μέσω μιας κλήσης IPC κλήση από μια άλλη εφαρμογή που υπάρχει στην ίδια συσκευή, τα Android ανοίγει αυτόν τον σύνδεσμο χρησιμοποιώντας το WebView.
Ωστόσο, αν ένας εισβολέας χρησιμοποίησε ένα file:// URL, που οδηγεί σε κάποια ιστοσελίδα που ελέγχεται από τον ίδιο, τότε όπως αναφέρει ο Vardanyan είναι πιθανό να παρακαμφθεί η πολιτική προέλευσης και έτσι είναι σε θέση να ανακτήσει τα δεδομένα από το sandbox του Google Admin.
Έτσι εάν έχει εγκατασταθεί μια κακόβουλη εφαρμογή τρίτων και οι επιτιθέμενοι έχουν τον έλεγχο της θα είναι σε θέση να διαβάσουν δεδομένα από οποιοδήποτε αρχείο υπάρχει μέσα στο sandbox του Google Admin.
Σύμφωνα με τον ερευνητή, η ευπάθεια μπορεί να αξιοποιηθεί μετά όταν ενεργοποιηθεί το setup_url μέσω ενός συνδέσμου που αποστέλλεται, το οποίο στη συνέχεια προκαλεί ResetPinActivity και ενεργοποιεί το WebView με προνόμια κονσόλας του Google Admin. Ένας εισβολέας μπορεί να προσθέσει HTML σε αυτούς τους συνδέσμους, συμπεριλαμβάνοντας iframe – προκαλώντας ένα δευτερόλεπτο καθυστέρηση, ενώ ο σύνδεσμος αποστέλλεται στο WebView. Ο εισβολέας μπορεί στη συνέχεια να διαγράψει αυτό το αρχείο και να το αντικαταστήσει με ένα συμβολικό σύνδεσμο με το ίδιο όνομα που παραπέμπει σε ένα αρχείο του Google Admin.
Όμως ας μιλήσουμε λίγο για την υποκρισία της Google.
Το ελάττωμα υποβλήθηκε για πρώτη φορά στην Google στις 17 Μαρτίου. Στις 18 Μαρτίου, η ομάδα ασφαλείας της εταιρείας αναγνώρισε την έκθεση και στη συνέχεια ζήτησε δύο εβδομάδες για να αναπτύξει και να κυκλοφορήσει μια ενημερωμένη έκδοση με ένα patch.
Τον Ιούνιο, η MWR Labs ζήτησε να μάθει τι έγινε με το patch και λίγο αργότερα τον ίδιο μήνα η Google αναγνώρισε η είχε καθυστερήσει και ζήτησε άλλη μια προθεσμία πριν δημοσιευτεί στο κοινό.
Τον Ιούλιο, η εταιρεία ασφαλείας ανακοίνωσε τις προθέσεις της να δημοσιεύσει την ευπάθεια τον Αύγουστο.
Μέχρι σήμερα η Google δεν έχει κυκλοφορήσει καμία ενημέρωση που διορθώνει το πρόβλημα. Για δική σας προστασία όσοι χρησιμοποιείτε το Google Admin στη συσκευή σας δεν θα πρέπει να εγκαταστήσετε ή να χρησιμοποιήσετε οποιαδήποτε εφαρμογή τρίτων.
Η υποκρισία τώρα αν δεν έχετε καταλάβει ακόμα: η ομάδα ασφαλείας της Google Project Zero είναι γνωστή γιατί δημοσιεύσει ευπάθειες μετά την ενημέρωση των developers που ανέπτυξαν την εφαρμογή ή το λογισμικό που περιέχει την ευπάθεια. Πάντα όπως αναφέρει η πολιτική της εταιρείας δίνουν μια προθεσμία 90 ημερών. Μετά από αυτές τις 90 μέρες η ευπάθεια δημοσιεύεται στο κοινό αναγκάζοντας την εταιρεία να ενημερώσει άμεσα το προϊόν της. Η ομάδα Project Zero έχει αποκαλύψει ευπάθειες της Microsoft, της Adobe και της Apple χωρίς να δώσει ούτε μέρα παράταση στα deadlines.