Door een zero-day-fout in de Google Admin-app kunnen kwaadaardige apps de bestanden lezen

Door een niet-gepatchte kwetsbaarheid in de Google Admin-applicatie voor Android kunnen frauduleuze applicaties inloggegevens stelen die kunnen worden gebruikt om toegang te krijgen tot Google for Work-accounts.

Een van de belangrijkste aspecten van het Android-beveiligingsmodel is dat apps in hun eigen sandboxen draaien en elkaars gevoelige gegevens niet via het bestandssysteem kunnen lezen. Er zijn API's waarmee applicaties met elkaar kunnen communiceren en gegevens kunnen uitwisselen, maar hiervoor is onderlinge overeenstemming vereist.

Maar onderzoekers van beveiligingsadviesbureau MWR InfoSecurity in het VK ontdekten een fout in de Google Admin-app die zou kunnen worden misbruikt door potentieel kwaadaardige applicaties om in te breken in de sandbox van de app en de bestanden te lezen.

De fout zit in de manier waarop Google Admin URL's verwerkt en laadt die zijn ontvangen van andere applicaties in een WebView-een vereenvoudigd browservenster.

Als een frauduleuze applicatie Google Admin een verzoek stuurt - of 'intentie' in Android-taalgebruik - met een URL die verwijst naar een lokaal voor de hele wereld leesbaar HTML-bestand dat door de frauduleuze app wordt beheerd, laadt Google Admin de code van het bestand in een WebView.

De aanvaller kan een iframe in de HTML-code plaatsen die hetzelfde bestand na een vertraging van één seconde opnieuw laadt, legden de MWR-onderzoekers uit in een advies dat donderdag is gepubliceerd. Nadat Google Admin de HTML-code heeft geladen, maar voordat hij probeert het iframe te laden, kan de aanvaller het originele bestand vervangen door een bestand met dezelfde naam, maar fungeert als een symbolische link naar een bestand in de Google Admin-app, zeiden ze.

WebView heeft een beveiligingsmechanisme, het Same-Origin-beleid, dat in alle browsers aanwezig is en dat voorkomt dat een webpagina in een iframe geladen code leest of wijzigt, tenzij zowel de pagina als het iframe dezelfde oorsprong-domeinnaam en hetzelfde protocol delen.

Hoewel de code die in het iframe is geladen tot een Google Admin-bestand behoort, is de oorsprong ervan hetzelfde als die van het bestand uit de frauduleuze applicatie dankzij de symlink-truc. Dit betekent dat de originele HTML-code die in de WebView is geladen, het Google Admin-bestand kan lezen dat vervolgens in het iframe is geladen, waardoor de inhoud wordt doorgegeven aan de frauduleuze app.

"Met de Google Admin-app voor Android kan de bedrijfsbeheerder de Gmail for Work-accounts van hun bedrijf beheren vanaf zijn of haar Android-telefoon", zegt Robert Miller, senior beveiligingsonderzoeker bij MWR, via e-mail. 'Een sleutelbestand in de Google Admin-sandbox is een bestand met een token dat door de app wordt gebruikt om zichzelf bij de server te verifiëren. Een kwaadaardige app kan misbruik maken van het gevonden beveiligingslek om dit token te lezen en proberen in te loggen bij de Google for Work-server. "

De MWR-onderzoekers beweren dat ze de kwetsbaarheid op 17 maart aan Google hebben gemeld, maar zelfs nadat ze het bedrijf een verlenging van de standaardtermijn van 90 dagen hadden verleend, was het nog steeds niet opgelost.

"Op het moment van publicatie is er geen bijgewerkte versie verschenen", aldus de MWR-onderzoekers in het advies.

Google reageerde niet direct op een verzoek om commentaar.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.