Zero-Day-Fehler in der Google Admin-App ermöglichen es böswilligen Apps, ihre Dateien zu lesen

Eine nicht gepatchte Sicherheitsanfälligkeit in der Google Admin-Anwendung für Android kann es unerwünschten Anwendungen ermöglichen, Anmeldeinformationen zu stehlen, die für den Zugriff auf Google for Work-Konten verwendet werden können.

Einer der Hauptaspekte des Android-Sicherheitsmodells besteht darin, dass Apps in ihren eigenen Sandboxen ausgeführt werden und die vertraulichen Daten des anderen nicht über das Dateisystem lesen können. Es gibt APIs für Anwendungen, die miteinander interagieren und Daten austauschen können. Dies erfordert jedoch gegenseitige Vereinbarung.

Forscher des britischen Sicherheitsberatungsunternehmens MWR InfoSecurity entdeckten jedoch einen Fehler in der Google Admin-App, der von potenziell bösartigen Anwendungen ausgenutzt werden könnte, um in die Sandbox der App einzudringen und deren Dateien zu lesen.

Der Fehler liegt in der Art und Weise, wie Google Admin von anderen Anwendungen empfangene URLs in einem vereinfachten Browserfenster von WebView verarbeitet und lädt.

Wenn eine nicht autorisierte Anwendung Google Admin eine Anfrage oder "Absicht" im Android-Sprachgebrauch mit einer URL sendet, die auf eine lokal lesbare HTML-Datei verweist, die von der nicht autorisierten App gesteuert wird, lädt Google Admin den Code der Datei in eine WebView.

Der Angreifer kann einen Iframe in den HTML-Code einfügen, der dieselbe Datei nach einer Verzögerung von einer Sekunde erneut lädt, erklärten die MWR-Forscher in einem am Donnerstag veröffentlichten Gutachten. Nachdem Google Admin den HTML-Code geladen hat, aber bevor es versucht, den Iframe zu laden, kann der Angreifer die Originaldatei durch eine Datei mit demselben Namen ersetzen, die jedoch als symbolischer Link zu einer Datei in der Google Admin-App fungiert.

WebView verfügt über einen Sicherheitsmechanismus namens Same-Origin-Richtlinie, der in allen Browsern vorhanden ist und verhindert, dass eine Webseite in einen Iframe geladenen Code liest oder ändert, es sei denn, sowohl die Seite als auch der Iframe haben denselben Ursprungsdomänennamen und dasselbe Protokoll.

Obwohl der in den Iframe geladene Code zu einer Google Admin-Datei gehört, ist sein Ursprung dank des Symlink-Tricks der gleiche wie der der Datei aus der Rogue-Anwendung. Dies bedeutet, dass der in WebView geladene ursprüngliche HTML-Code die anschließend im iframe geladene Google Admin-Datei lesen und ihren Inhalt an die Rogue-App weitergeben kann.

"Mit der Google Admin-App für Android kann der Unternehmensadministrator die Google Mail for Work-Konten seines Unternehmens von seinem Android-Telefon aus verwalten", sagte Robert Miller, Senior Security Researcher bei MWR, per E-Mail. „Eine Schlüsseldatei in der Google Admin-Sandbox ist eine Datei mit einem Token, mit dem sich die App beim Server authentifiziert. Eine bösartige App könnte die Sicherheitsanfälligkeit ausnutzen, die beim Lesen dieses Tokens festgestellt wurde, und versuchen, sich beim Google for Work-Server anzumelden. “

Die MWR-Forscher behaupten, sie hätten die Sicherheitsanfälligkeit am 17. März bei Google gemeldet, aber selbst nachdem sie dem Unternehmen eine Verlängerung der standardmäßigen 90-Tage-Offenlegungsfrist gewährt hatten, wurde diese noch nicht behoben.

"Zum Zeitpunkt der Veröffentlichung wurde keine aktualisierte Version veröffentlicht", sagten die MWR-Forscher im Advisory.

Google hat auf eine Anfrage nach einem Kommentar nicht sofort reagiert.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.