Nolldagars fel i Google Admin-appen gör det möjligt för skadliga appar att läsa sina filer

En oöverträffad sårbarhet i Google Admin-applikationen för Android kan tillåta falska applikationer att stjäla referenser som kan användas för att komma åt Google for Work-konton.

En av huvudaspekterna i Android-säkerhetsmodellen är att appar körs i sina egna sandlådor och inte kan läsa varandras känsliga data genom filsystemet. Det finns API: er för applikationer som ska interagera med varandra och utbyta data, men detta kräver ömsesidigt avtal.

Men forskare från säkerhetskonsultföretaget MWR InfoSecurity i Storbritannien upptäckte en brist i Google Admin-appen som kan utnyttjas av potentiellt skadliga applikationer för att bryta in i appens sandlåda och läsa dess filer.

Felet ligger i hur Google Admin bearbetar och laddar webbadresser som tas emot från andra applikationer i ett WebView - ett förenklat webbläsarfönster.

Om en falsk applikation skickar Google Admin en begäran eller "avsikt" i Android-parlance-med en URL som pekar på en lokal världsläsbar HTML-fil som den rogue-appen styr, kommer Google Admin att ladda filens kod i en WebView.

Angriparen kan sätta en iframe i HTML-koden som kommer att ladda samma fil igen efter en sekunders försening, förklarade MWR-forskarna i en rådgivande publicerad torsdag. Efter att Google Admin har laddat HTML-koden, men innan den försöker ladda iframe kan angriparen ersätta den ursprungliga filen med en som har samma namn men fungerar som en symbolisk länk till en fil i Google Admin-appen, sa de.

WebView har en säkerhetsmekanism som heter samma-ursprungspolicy som finns i alla webbläsare och som förhindrar att en webbsida läser eller ändrar kod som laddats i en iframe såvida inte både sidan och iframe delar samma ursprungsdomännamn och protokoll.

Även om koden som laddats i iframe tillhör en Google Admin-fil är dess ursprung detsamma som filen för filen från den rogue-applikationen tack vare symlink-tricket. Detta innebär att den ursprungliga HTML-koden som laddats i WebView kan läsa Google Admin-filen som sedan laddats i iframe och överföra dess innehåll till den falska appen.

"Med Google Admin-appen för Android kan företagets administratör hantera företagets Gmail for Work-konton från sin Android-telefon," sade Robert Miller, senior säkerhetsforskare på MWR, via e-post. ”En nyckelfil i Google Admin-sandlådan är en fil som har ett token som används av appen för att autentisera sig själv med servern. En skadlig app kan utnyttja sårbarheten som hittades för att läsa detta token och försöka logga in på Google for Work-servern. "

MWR-forskarna hävdar att de rapporterade sårbarheten till Google den 17 mars, men även efter att företaget har beviljat förlängningen till standardfristen på 90 dagar, har det fortfarande inte fastställts.

"Ingen uppdaterad version har släppts från och med tidpunkten för publiceringen", sade MWR-forskarna i det rådgivande.

Google svarade inte omedelbart på en begäran om kommentar.

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.