Une faille zéro jour dans l'application d'administration Google permet aux applications malveillantes de lire ses fichiers

Une vulnérabilité non corrigée dans l'application Google Admin pour Android peut permettre aux applications malveillantes de voler des informations d'identification qui pourraient être utilisées pour accéder aux comptes Google for Work.

L'un des principaux aspects du modèle de sécurité Android est que les applications s'exécutent dans leurs propres bacs à sable et ne peuvent pas lire les données sensibles les unes des autres via le système de fichiers. Il existe des API pour que les applications interagissent entre elles et échangent des données, mais cela nécessite un accord mutuel.

Mais des chercheurs du cabinet de conseil en sécurité MWR InfoSecurity au Royaume-Uni ont découvert une faille dans l'application d'administration Google qui pourrait être exploitée par des applications potentiellement malveillantes pour pénétrer dans le bac à sable de l'application et lire ses fichiers..

La faille réside dans la façon dont l'administrateur Google traite et charge les URL reçues d'autres applications dans une fenêtre de navigateur WebView-a simplifiée.

Si une application malveillante envoie à Google Admin une demande - ou «intention» dans le jargon Android - avec une URL pointant vers un fichier HTML local lisible par le monde que l'application malveillante contrôle, Google Admin chargera le code du fichier dans une WebView.

L'attaquant peut mettre une iframe à l'intérieur du code HTML qui chargera à nouveau le même fichier après un délai d'une seconde, ont expliqué les chercheurs du MWR dans un avis publié jeudi. Une fois que Google Admin a chargé le code HTML, mais avant de tenter de charger l'iframe, l'attaquant peut remplacer le fichier d'origine par un autre portant le même nom mais servant de lien symbolique vers un fichier de l'application Google Admin, ont-ils déclaré..

WebView dispose d'un mécanisme de sécurité appelé la même politique d'origine qui est présent dans tous les navigateurs et qui empêche une page Web de lire ou de modifier le code chargé dans un iframe à moins que la page et l'iframe partagent le même nom de domaine d'origine et le même protocole.

Même si le code chargé dans l'iframe appartient à un fichier d'administration Google, son origine est la même que celle du fichier de l'application malveillante grâce à l'astuce du lien symbolique. Cela signifie que le code HTML d'origine chargé dans la WebView peut lire le fichier d'administration Google chargé par la suite dans l'iframe, en transmettant son contenu à l'application malveillante.

"L'application Google Admin pour Android permet à l'administrateur de l'entreprise de gérer les comptes Gmail for Work de son entreprise à partir de son téléphone Android", a déclaré par courrier électronique Robert Miller, chercheur principal en sécurité chez MWR. "Un fichier clé dans le sandbox d'administration Google est un fichier contenant un jeton utilisé par l'application pour s'authentifier auprès du serveur. Une application malveillante pourrait exploiter la vulnérabilité trouvée pour lire ce jeton et tenter de se connecter au serveur Google for Work. "

Les chercheurs de MWR affirment avoir signalé la vulnérabilité à Google le 17 mars, mais même après avoir accordé à la société une extension du délai de divulgation standard de 90 jours, elle n'a toujours pas été corrigée.

"Aucune version mise à jour n'a été publiée au moment de la publication", ont déclaré les chercheurs du MWR dans l'avis.

Google n'a pas immédiatement répondu à une demande de commentaire.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.