Zero-Day επιτρέπει την παράκαμψη του sandbox στο Google Admin

Μοίρασε την γνώση...

Ο ερευνητής ασφαλείας Vahagn Vardanyan της MWR Labs αναφέρει ότι το ελάττωμα, ανακαλύφθηκε μέσα από την εφαρμογή Google Admin του Android, και επιτρέπει σε εφαρμογές τρίτων για να παρακάμψουν τους περιορισμούς sandbox και να διαβάσουν αυθαίρετα αρχεία μέσω συμβολικών συνδέσμων.

Αν η κονσόλα λάβει μια διεύθυνση URL μέσω μιας κλήσης IPC κλήση από μια άλλη εφαρμογή που υπάρχει στην ίδια συσκευή, τα Android ανοίγει αυτόν τον σύνδεσμο χρησιμοποιώντας το WebView.

Ωστόσο, αν ένας εισβολέας χρησιμοποίησε ένα file:// URL, που οδηγεί σε κάποια ιστοσελίδα που ελέγχεται από τον ίδιο, τότε όπως αναφέρει ο Vardanyan είναι πιθανό να παρακαμφθεί η πολιτική προέλευσης και έτσι είναι σε θέση να ανακτήσει τα δεδομένα από το sandbox του Google Admin.
Έτσι εάν έχει εγκατασταθεί μια κακόβουλη εφαρμογή τρίτων και οι επιτιθέμενοι έχουν τον έλεγχο της θα είναι σε θέση να διαβάσουν δεδομένα από οποιοδήποτε αρχείο υπάρχει μέσα στο sandbox του Google Admin.
Σύμφωνα με τον ερευνητή, η ευπάθεια μπορεί να αξιοποιηθεί μετά όταν ενεργοποιηθεί το setup_url μέσω ενός συνδέσμου που αποστέλλεται, το οποίο στη συνέχεια προκαλεί ResetPinActivity και ενεργοποιεί το WebView με προνόμια κονσόλας του Google Admin. Ένας εισβολέας μπορεί να προσθέσει HTML σε αυτούς τους συνδέσμους, συμπεριλαμβάνοντας iframe – προκαλώντας ένα δευτερόλεπτο καθυστέρηση, ενώ ο σύνδεσμος αποστέλλεται στο WebView. Ο εισβολέας μπορεί στη συνέχεια να διαγράψει αυτό το αρχείο και να το αντικαταστήσει με ένα συμβολικό σύνδεσμο με το ίδιο όνομα που παραπέμπει σε ένα αρχείο του Google Admin.

Όμως ας μιλήσουμε λίγο για την υποκρισία της Google.

Το ελάττωμα υποβλήθηκε για πρώτη φορά στην Google στις 17 Μαρτίου. Στις 18 Μαρτίου, η ομάδα ασφαλείας της εταιρείας αναγνώρισε την έκθεση και στη συνέχεια ζήτησε δύο εβδομάδες για να αναπτύξει και να κυκλοφορήσει μια ενημερωμένη έκδοση με ένα patch.

Τον Ιούνιο, η MWR Labs ζήτησε να μάθει τι έγινε με το patch και λίγο αργότερα τον ίδιο μήνα η Google αναγνώρισε η είχε καθυστερήσει και ζήτησε άλλη μια προθεσμία πριν δημοσιευτεί στο κοινό.

Τον Ιούλιο, η εταιρεία ασφαλείας ανακοίνωσε τις προθέσεις της να δημοσιεύσει την ευπάθεια τον Αύγουστο.
Μέχρι σήμερα η Google δεν έχει κυκλοφορήσει καμία ενημέρωση που διορθώνει το πρόβλημα. Για δική σας προστασία όσοι χρησιμοποιείτε το Google Admin στη συσκευή σας δεν θα πρέπει να εγκαταστήσετε ή να χρησιμοποιήσετε οποιαδήποτε εφαρμογή τρίτων.
Η υποκρισία τώρα αν δεν έχετε καταλάβει ακόμα: η ομάδα ασφαλείας της Google Project Zero είναι γνωστή γιατί δημοσιεύσει ευπάθειες μετά την ενημέρωση των developers που ανέπτυξαν την εφαρμογή ή το λογισμικό που περιέχει την ευπάθεια. Πάντα όπως αναφέρει η πολιτική της εταιρείας δίνουν μια προθεσμία 90 ημερών. Μετά από αυτές τις 90 μέρες η ευπάθεια δημοσιεύεται στο κοινό αναγκάζοντας την εταιρεία να ενημερώσει άμεσα το προϊόν της. Η ομάδα Project Zero έχει αποκαλύψει ευπάθειες της Microsoft, της Adobe και της Apple χωρίς να δώσει ούτε μέρα παράταση στα deadlines.

Μοίρασε την γνώση...

Στο site χρησιμοποιούμε affiliate links, απ’ όπου εμείς παίρνουμε κάποια προμήθεια, ενώ για εσάς δεν σας κοστίζει ΤΙΠΟΤΑ επιπλέον. Αντιθέτως, έτσι μπορούμε να φέρνουμε προϊόντα για παρουσίαση, που μετά τα κερδίζετε εσείς σε διαγωνισμούς που κάνουμε στο site.


Μην ξεχάσετε να γραφτείτε στο newsletter μας!


Εσείς πάντως μην ξεχάσετε να γραφτείτε στις ειδοποιήσεις μας , ώστε να ενημερωθείτε πρώτοι, να κάνετε Like & Share την σελίδα μας στο Facebook  ή να γραφτείτε στο κανάλι μας στο Telegram . Μπορείτε επίσης να γραφτείτε και στο κανάλι του iTechNews.gr στο  Youtube, όπου μπορείτε να βρείτε πάρα πολλές παρουσιάσεις που έχουμε κάνει! Μην ξεχάσετε να δείτε πως θα μπορείτε να βρείτε όλα τα άρθρα μας στις ειδήσεις της Google.


Ενημέρωση για αγορές από Κίνα και χρεώσεις μετά την 01/07/2021!

admitad affiliate banggood aliexprerss
cafago tomtop

Στην περίπτωση που θέλετε ν’ αντιγράψετε ή να χρησιμοποιήσετε μέρος ή ολόκληρο το άρθρο, μπορείτε να το κάνετε εφόσον αναφέρετε σαν πηγή το iTechNews.gr.



Διαφήμιση

Written by 

Παρόλο που δεν μεγάλωσα μέσα στην τεχνολογία, είναι το πάθος μου....!

Σχετικά άρθρα

Αφήστε ένα σχόλιο