Novo
Agora IDGNow! é IT Midia.com
Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Logo ITMidia
Logo ComputerWorld
Logo PCWorld
Logo CIO
Logo ITForum
Salvar em Nova pasta de favoritos

+

Criar pasta
Últimos favoritos Ver todos
Últimas notícias do conteúdo : Ver todos
Brecha permite que hackers tenham acesso a contas do Google for Work
Brecha permite que hackers tenham acesso a contas do Google for Work
Home > Internet

Brecha permite que hackers tenham acesso a contas do Google for Work

Invasores poderiam obter credenciais para administrar contas no aplicativo. Falha reside na maneira do Google Admin processar URLs

Lucian Constantin, IDG News Service

14/08/2015 às 18h06

security1_625.jpg
Foto:

Uma vulnerabilidade não corrigida no aplicativo Google Admin para Android permitiria que aplicativos maliciosos roubem credenciais usadas para acessar contas do Google for Work.

Um dos principais aspectos do modelo de segurança do Android é que os aplicativos são executados em suas próprias sandboxes e os mesmos não conseguem ler dados sensíveis uns dos outros através do sistema de arquivos. Existem APIs para aplicações interagirem umas com as outras e trocar dados, no entanto isso requer comum acordo.

Mas pesquisadores da empresa de segurança MWR InfoSecurity, no Reino Unido, descobriram uma falha no aplicativo em questão que pode ser explorada por outros aplicativos potencialmente maliciosos para invadir a sandbox e ler seus arquivos.

Segundo os pesquisadores, a falha reside na maneira do Google Admin processar e carregar URLs recebidas de outras aplicações dentro de um WebView - uma janela simplificada do navegador.

Se um aplicativo não autorizado enviar um pedido ao Google Admin - ou uma "intenção" - com uma URL que aponta para um arquivo local HTML, lido por todos os controles de aplicativos maliciosos, o Google Admin então irá carregar o código em um WebView.

O hacker, então, pode colocar um iframe dentro do código HTML que irá, novamente, carregar o mesmo arquivo, explicaram os pesquisadores da MWR em comunicado publicado nesta quinta-feira (13). 

Depois o Google Admin carregará o código HTML, mas antes que ele tente carregar o iframe, o invasor poderia substituir o arquivo original com um que carrega o mesmo nome, mas funciona como uma ligação simbólica para um arquivo dentro do aplicativo.

O WebView tem um mecanismo de segurança chamado Same-Origin Policy que está presente em todos os navegadores e que impede que uma página Web leia ou altere o código carregado em um iframe, a menos que tanto a página e iframe tenham a mesma origem - nome de domínio e protocolo. 

Mesmo que o código carregado pertença a um arquivo do Google Admin, sua origem é a mesma que a do arquivo malicioso graças a um truque. Isto significa que o código HTML original carregado no WebView pode ler o arquivo de administração do Google posteriormente carregado, passando o seu conteúdo para o aplicativo malicioso.

 "O aplicativo Google Admin para Android permite que o administrador gerencie o Gmail da sua empresa para contas corporativas a partir de seu telefone Android", disse Robert Miller, pesquisador sênior de segurança da MWR, via e-mail. 

"Um arquivo-chave no sandbox do Google Admin trata-se de um arquivo contendo um token que é usado pelo aplicativo para se autenticar com o servidor. Um aplicativo mal-intencionado poderia explorar a vulnerabilidade encontrada para ler esse símbolo e tentar fazer o login no  servidor do Google for Work".

Os pesquisadores da MWR afirmam que a brecha foi relatada ao Google no dia 17 de março, mas mesmo após a concessão da empresa, uma extensão do prazo de divulgação de 90 dias ainda não foi fixada.

"Nenhuma versão atualizada foi lançada a partir do momento da publicação", informaram os investigadores MWR disse no comunicado.

O Google não respondeu a pedidos de entrevista até o fechamento desta matéria.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail
Vai um cookie?

A IT Mídia usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Ir para o site