Lỗ hổng zero-day trong Google Admin App có thể bypass sandbox

Đội ngũ bảo mật Android đang có một tháng đầy bận rộn. Đầu tiên là lỗ hổng Stagefright ngay trước thềm hội nghị bảo mật Black Hat và các nhà nghiên cứu tiếp tục cung cấp thông tin về một lỗ hổng chưa được vá cho phép tin tặc bypass sandbox Android .

Lỗ hổng nằm trong cách ứng dụng Google Admin trên điện thoại Android xử lý một vài URL. Nếu một ứng dụng khác gửi một loại URL đặc biệt đến Admin app, tin tặc có thể  bypass Same Origin Policy và lấy dữ liệu ra khỏi Admin sandbox.

Tin tặc khai thác lỗ hổng thông qua cài đặt ứng dụng độc hại vào điện thoại của nạn nhân. Các nhà nghiên cứu tại MWR Labs đã thông báo đến Google vào tháng 3, công ty cũng phản hồi rằng sẽ tung ra bản vào vào tháng 7 nhưng Google không thực hiện điều đó. Lỗ hổng ảnh hưởng trên phiên bản mới nhất của ứng dụng, các phiên bản cũ cũng có thể bị ảnh hưởng.

Chuyên gia MWR cho biết: “Ứng dụng Google Admin (com.google.android.apps.enterprise.cpanel) chấp nhận chuỗi kí tự có tên setup_url. Nó có thể được sử dụng bởi bất kì ứng dụng nào khác trên thiết bị tạo ra kết nối mới với thiết đặt data-uri đến http://localhost/foo và chuỗi setup_url cài đặt file url có thể thay đổi tùy ý thành đường dẫn độc hại như file://data/data/com.themalicious.app/worldreadablefile.html”.

Khuyến cáo người dùng không chấp nhận ứng dụng bên thứ ba truy cập vào Google Admin app đến khi Google triển khai bản vá cho lỗ hổng.

threatpost