Acabou de ser revelada uma violação de segurança (0Dia ou Dia Zero) que permite que aplicativos de terceiros ignorem as restrições de sandbox no console do Google para administradores.O pesquisador de segurança Vahagn Vardanyan, da MWR Labs, diz que a falha foi descoberta por meio do aplicativo Google Admin no Android e permite que aplicativos de terceiros ignorem as restrições de sandbox e leiam arquivos arbitrários por links simbólicos.
Se o console receber um URL de uma chamada IPC de outro aplicativo no mesmo dispositivo, o Android abrirá esse link usando o WebView.
No entanto, se um invasor usar um arquivo: // URL, que leva a um site controlado por ele, então, como Vardanyan afirma, é possível que a política de origem seja ignorada e, portanto, ele poderá recuperar os dados da sandbox do Google. Admin.
Portanto, se um aplicativo de terceiros mal-intencionado estiver instalado e os invasores tiverem controle sobre ele, eles poderão ler dados de qualquer arquivo na caixa de proteção do administrador do Google.
Segundo o pesquisador, a vulnerabilidade pode ser explorada quando o setup_url é ativado por um link enviado, que aciona o ResetPinActivity e ativa o WebView com privilégios do Google Admin Console. Um invasor pode adicionar HTML a esses links, incluindo iframe – causando um atraso de um segundo, enquanto o link é enviado ao WebView. O invasor pode excluir esse arquivo e substituí-lo por um link simbólico com o mesmo nome que se refere a um arquivo do Google Admin.
Mas vamos falar um pouco da hipocrisia do Google. O defeito foi submetido pela primeira vez ao Google em 17 de março. Em 18 de março, a equipe de segurança da empresa reconheceu o relatório e pediu duas semanas para desenvolver e lançar uma versão atualizada com um patch.
Em junho, o MWR Labs pediu para saber o que aconteceu com o patch e, um pouco mais tarde naquele mês, o Google reconheceu que havia sido adiado e pediu outro prazo antes que pudesse ser divulgado.
Em julho, a empresa de segurança anunciou suas intenções de publicar vulnerabilidade em agosto.
Até o momento, o Google não lançou nenhuma atualização que resolva o problema. Para sua própria proteção, aqueles que usam o Google Admin no seu dispositivo não devem instalar ou usar aplicativos de terceiros.
Hipocrisia agora, se você ainda não descobriu: a equipe de segurança do Google Project Zero é conhecida por postar vulnerabilidades após atualizar os desenvolvedores que desenvolveram o aplicativo ou software de vulnerabilidade. De acordo com a política da empresa, eles sempre dão um prazo de 90 dias. Após esses 90 dias, a vulnerabilidade é publicada em público, forçando a empresa a atualizar imediatamente seu produto. O Projeto Zero expôs as vulnerabilidades da Microsoft, Adobe e Apple sem conceder uma única extensão de dia aos prazos.