Una vulnerabilidad no parcheada en la aplicación Google Admin para Android puede permitir que aplicaciones no autorizadas roben credenciales que podrían usarse para acceder a las cuentas de Google for Work.
Uno de los aspectos principales del modelo de seguridad de Android es que las aplicaciones se ejecutan en sus propios entornos limitados y no pueden leer los datos confidenciales de los demás a través del sistema de archivos. Existen API para que las aplicaciones interactúen entre sí e intercambien datos, pero esto requiere un acuerdo mutuo..
Pero los investigadores de la consultora de seguridad MWR InfoSecurity en el Reino Unido descubrieron una falla en la aplicación Google Admin que podría ser explotada por aplicaciones potencialmente maliciosas para entrar en el entorno limitado de la aplicación y leer sus archivos..
La falla radica en la forma en que Google Admin procesa y carga las URL recibidas de otras aplicaciones dentro de un WebView, una ventana de navegador simplificada.
Si una aplicación no autorizada envía a Google Admin una solicitud o "intención" en el lenguaje de Android, con una URL que apunta a un archivo HTML local legible en todo el mundo que controla la aplicación no autorizada, Google Admin cargará el código del archivo en un WebView.
El atacante puede poner un iframe dentro del código HTML que cargará el mismo archivo nuevamente después de un segundo de retraso, explicaron los investigadores de MWR en un aviso publicado el jueves. Después de que Google Admin carga el código HTML, pero antes de que intente cargar el iframe, el atacante puede reemplazar el archivo original con uno que tenga el mismo nombre pero que actúe como un enlace simbólico a un archivo dentro de la aplicación Google Admin, dijeron.
WebView tiene un mecanismo de seguridad llamado Política del mismo origen que está presente en todos los navegadores y que evita que una página web lea o cambie el código cargado en un iframe a menos que tanto la página como el iframe compartan el mismo nombre de dominio de origen y protocolo.
Aunque el código cargado en el iframe pertenece a un archivo de administración de Google, su origen es el mismo que el del archivo de la aplicación maliciosa gracias al truco de enlace simbólico. Esto significa que el código HTML original cargado en WebView puede leer el archivo de administración de Google posteriormente cargado en el iframe, pasando su contenido a la aplicación no autorizada.
"La aplicación Google Admin para Android le permite al administrador de la empresa administrar las cuentas de Gmail for Work de su empresa desde su teléfono Android", dijo Robert Miller, investigador senior de seguridad de MWR, por correo electrónico. “Un archivo clave en el sandbox de Google Admin es un archivo que contiene un token que la aplicación utiliza para autenticarse con el servidor. Una aplicación maliciosa podría aprovechar la vulnerabilidad que se encuentra al leer este token e intentar iniciar sesión en el servidor de Google for Work ".
Los investigadores de MWR afirman que informaron la vulnerabilidad a Google el 17 de marzo, pero incluso después de otorgar a la compañía una extensión del plazo estándar de divulgación de 90 días, aún no se ha solucionado.
"No se ha publicado ninguna versión actualizada hasta el momento de la publicación", dijeron los investigadores de MWR en el aviso.
Google no respondió de inmediato a una solicitud de comentarios.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
