Un difetto zero-day nell'app di amministrazione Google consente alle app dannose di leggere i suoi file

Una vulnerabilità senza patch nell'applicazione di amministrazione Google per Android può consentire alle applicazioni non autorizzate di rubare le credenziali che potrebbero essere utilizzate per accedere agli account Google for Work.

Uno degli aspetti principali del modello di sicurezza di Android è che le app vengono eseguite nei propri sandbox e non possono leggere i dati sensibili reciproci attraverso il file system. Esistono API per le applicazioni che interagiscono tra loro e scambiano dati, ma ciò richiede un accordo reciproco.

Ma i ricercatori della società di consulenza sulla sicurezza MWR InfoSecurity nel Regno Unito hanno scoperto un difetto nell'app di amministrazione di Google che poteva essere sfruttato da applicazioni potenzialmente dannose per penetrare nella sandbox dell'app e leggere i suoi file.

Il difetto sta nel modo in cui l'amministratore di Google elabora e carica gli URL ricevuti da altre applicazioni all'interno di un WebView, una finestra del browser semplificata.

Se un'applicazione non autorizzata invia a Google Admin una richiesta - o "intento" in linguaggio Android - con un URL che punta a un file HTML locale leggibile dal mondo controllato dall'app canaglia, Google Admin caricherà il codice del file in un WebView.

L'attaccante può inserire un iframe all'interno del codice HTML che caricherà di nuovo lo stesso file dopo un secondo di ritardo, hanno spiegato i ricercatori di MWR in un avviso pubblicato giovedì. Dopo che l'amministratore di Google ha caricato il codice HTML, ma prima di provare a caricare l'iframe, l'autore dell'attacco può sostituire il file originale con uno con lo stesso nome ma funge da collegamento simbolico a un file all'interno dell'app di amministrazione Google, hanno detto.

WebView ha un meccanismo di sicurezza chiamato Politica della stessa origine presente in tutti i browser e che impedisce a una pagina Web di leggere o modificare il codice caricato in un iframe a meno che sia la pagina che l'iframe condividano lo stesso nome e protocollo di dominio di origine.

Anche se il codice caricato nell'iframe appartiene a un file di amministrazione Google, la sua origine è la stessa di quella del file dall'applicazione canaglia grazie al trucco del collegamento simbolico. Ciò significa che il codice HTML originale caricato in WebView può leggere il file di amministrazione Google successivamente caricato nell'iframe, passando il suo contenuto all'app non autorizzata.

"L'app Google Admin per Android consente all'amministratore dell'azienda di gestire gli account Gmail for Work della propria azienda dal proprio telefono Android", ha dichiarato via e-mail Robert Miller, ricercatore senior di sicurezza presso MWR. "Un file chiave nella sandbox di amministrazione Google è un file che contiene un token che viene utilizzato dall'app per autenticarsi con il server. Un'app dannosa potrebbe sfruttare la vulnerabilità rilevata per leggere questo token e tentare di accedere al server di Google for Work ".

I ricercatori del MWR affermano di aver segnalato la vulnerabilità a Google il 17 marzo, ma anche dopo aver concesso alla società un'estensione alla scadenza standard di divulgazione di 90 giorni, non è stato ancora risolto.

"Nessuna versione aggiornata è stata rilasciata al momento della pubblicazione", hanno detto i ricercatori del MWR nell'advisory.

Google non ha risposto immediatamente a una richiesta di commento.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.