Zero-Day permite ignorar a sandbox no Google Admin

Acabou de ser revelada uma violação de segurança (0Dia ou Dia Zero) que permite que aplicativos de terceiros ignorem as restriçÔes de sandbox no console do Google para administradores.Administrador do GoogleO pesquisador de segurança Vahagn Vardanyan, da MWR Labs, diz que a falha foi descoberta por meio do aplicativo Google Admin no Android e permite que aplicativos de terceiros ignorem as restriçÔes de sandbox e leiam arquivos arbitrårios por links simbólicos.

Se o console receber um URL de uma chamada IPC de outro aplicativo no mesmo dispositivo, o Android abrirĂĄ esse link usando o WebView.

No entanto, se um invasor usar um arquivo: // URL, que leva a um site controlado por ele, entĂŁo, como Vardanyan afirma, Ă© possĂ­vel que a polĂ­tica de origem seja ignorada e, portanto, ele poderĂĄ recuperar os dados da sandbox do Google. Admin.

Portanto, se um aplicativo de terceiros mal-intencionado estiver instalado e os invasores tiverem controle sobre ele, eles poderão ler dados de qualquer arquivo na caixa de proteção do administrador do Google.

Segundo o pesquisador, a vulnerabilidade pode ser explorada quando o setup_url Ă© ativado por um link enviado, que aciona o ResetPinActivity e ativa o WebView com privilĂ©gios do Google Admin Console. Um invasor pode adicionar HTML a esses links, incluindo iframe – causando um atraso de um segundo, enquanto o link Ă© enviado ao WebView. O invasor pode excluir esse arquivo e substituĂ­-lo por um link simbĂłlico com o mesmo nome que se refere a um arquivo do Google Admin.

Mas vamos falar um pouco da hipocrisia do Google. O defeito foi submetido pela primeira vez ao Google em 17 de março. Em 18 de março, a equipe de segurança da empresa reconheceu o relatório e pediu duas semanas para desenvolver e lançar uma versão atualizada com um patch.

Em junho, o MWR Labs pediu para saber o que aconteceu com o patch e, um pouco mais tarde naquele mĂȘs, o Google reconheceu que havia sido adiado e pediu outro prazo antes que pudesse ser divulgado.

Em julho, a empresa de segurança anunciou suas intençÔes de publicar vulnerabilidade em agosto.

Até o momento, o Google não lançou nenhuma atualização que resolva o problema. Para sua própria proteção, aqueles que usam o Google Admin no seu dispositivo não devem instalar ou usar aplicativos de terceiros.

Hipocrisia agora, se vocĂȘ ainda nĂŁo descobriu: a equipe de segurança do Google Project Zero Ă© conhecida por postar vulnerabilidades apĂłs atualizar os desenvolvedores que desenvolveram o aplicativo ou software de vulnerabilidade. De acordo com a polĂ­tica da empresa, eles sempre dĂŁo um prazo de 90 dias. ApĂłs esses 90 dias, a vulnerabilidade Ă© publicada em pĂșblico, forçando a empresa a atualizar imediatamente seu produto. O Projeto Zero expĂŽs as vulnerabilidades da Microsoft, Adobe e Apple sem conceder uma Ășnica extensĂŁo de dia aos prazos.