Acabou de ser revelada uma violação de segurança (0Dia ou Dia Zero) que permite que aplicativos de terceiros ignorem as restrições de sandbox no console do Google para administradores.
O pesquisador de segurança Vahagn Vardanyan, da MWR Labs, diz que a falha foi descoberta por meio do aplicativo Google Admin no Android e permite que aplicativos de terceiros ignorem as restrições de sandbox e leiam arquivos arbitrários por links simbólicos.
Se o console receber um URL de uma chamada IPC de outro aplicativo no mesmo dispositivo, o Android abrirá esse link usando o WebView.
No entanto, se um invasor usar um arquivo: // URL, que leva a um site controlado por ele, então, como Vardanyan afirma, é possível que a política de origem seja ignorada e, portanto, ele poderá recuperar os dados da sandbox do Google. Admin.
Portanto, se um aplicativo de terceiros mal-intencionado estiver instalado e os invasores tiverem controle sobre ele, eles poderão ler dados de qualquer arquivo na caixa de proteção do administrador do Google.
Segundo o pesquisador, a vulnerabilidade pode ser explorada quando o setup_url é ativado por um link enviado, que aciona o ResetPinActivity e ativa o WebView com privilégios do Google Admin Console. Um invasor pode adicionar HTML a esses links, incluindo iframe – causando um atraso de um segundo, enquanto o link é enviado ao WebView. O invasor pode excluir esse arquivo e substituí-lo por um link simbólico com o mesmo nome que se refere a um arquivo do Google Admin.
Mas vamos falar um pouco da hipocrisia do Google. O defeito foi submetido pela primeira vez ao Google em 17 de março. Em 18 de março, a equipe de segurança da empresa reconheceu o relatório e pediu duas semanas para desenvolver e lançar uma versão atualizada com um patch.
Em junho, o MWR Labs pediu para saber o que aconteceu com o patch e, um pouco mais tarde naquele mês, o Google reconheceu que havia sido adiado e pediu outro prazo antes que pudesse ser divulgado.
Em julho, a empresa de segurança anunciou suas intenções de publicar vulnerabilidade em agosto.
Até o momento, o Google não lançou nenhuma atualização que resolva o problema. Para sua própria proteção, aqueles que usam o Google Admin no seu dispositivo não devem instalar ou usar aplicativos de terceiros.
Hipocrisia agora, se você ainda não descobriu: a equipe de segurança do Google Project Zero é conhecida por postar vulnerabilidades após atualizar os desenvolvedores que desenvolveram o aplicativo ou software de vulnerabilidade. De acordo com a política da empresa, eles sempre dão um prazo de 90 dias. Após esses 90 dias, a vulnerabilidade é publicada em público, forçando a empresa a atualizar imediatamente seu produto. O Projeto Zero expôs as vulnerabilidades da Microsoft, Adobe e Apple sem conceder uma única extensão de dia aos prazos.
