--°--∫—Ä--Æ--∑—Å --ª—È—Å—Ã —Ñ —Ç—É--º--∞--Ω—Ã
Android版Google管理员应用程序中的一个未修补的漏洞可能允许流氓应用程序窃取可用于访问Google for Work帐户的凭据。
Android安全模型的一个主要方面是应用程序在自己的沙箱中运行,并且无法通过文件系统读取彼此的敏感数据。有一些应用程序的API可以相互交互并交换数据,但这需要双方达成共识。但来自英国安全咨询公司MWR InfoSecurity的研究人员发现了Google Admin应用程序中的一个漏洞,该漏洞可能被潜在的恶意应用程序利用打开应用程序的沙箱并阅读它的文件
[进一步阅读:如何从Windows PC删除恶意软件]
缺点在于Google管理员在WebView中处理和加载从其他应用程序接收的URL的方式 - 一个简化的浏览器窗口如果一个流氓应用程序向Android管理员发送一个请求(或者“意图”),一个URL指向一个本地世界可读的HTML文件,该流氓应用程序控制,Google管理员将加载文件代码在WebView中。
攻击者可以在HTML代码中放置一个iframe,在延迟一秒后再次加载同一文件,MWR的研究人员在周四发布的一份咨询报告中解释道。在Google管理员加载HTML代码之后,但在尝试加载iframe之前,攻击者可以使用具有相同名称的文件替换原始文件,但可以用作Google管理员应用中文件的符号链接。
WebView具有称为同源策略的安全机制,它存在于所有浏览器中,并且可以防止网页读取或更改在iframe中加载的代码,除非页面和iframe共享相同的源域名称和协议。
即使加载到iframe中的代码属于Google Admin文件,由于符号链接技巧,它的来源与流氓应用程序中的文件的来源相同。这意味着加载在WebView中的原始HTML代码可以读取随后加载到iframe中的Google Admin文件,并将其内容传递给流氓应用程序。
“Android版Google管理员应用程序可让公司的管理员管理其公司的Gmail MWR的高级安全研究员Robert Miller通过电子邮件说道:“从他或她的Android手机开始工作。 “Google管理员沙盒中的密钥文件是一个持有令牌的文件,应用程序使用该令牌对服务器进行身份验证。恶意应用可以利用发现的漏洞读取此令牌并尝试登录Google for Work服务器。“
MWR研究人员声称,他们在3月17日向Google报告了该漏洞,但即使在授予该公司扩展到标准的90天披露截止日期,它仍然没有被修正。“
截至发布时没有更新的版本发布,”水利部的研究人员在咨询中表示,
谷歌没有立即回复评论请求
