Android 系統的安全危機可謂一波未平,一波又起。繼上月的 Stagefright 漏洞後,又被發現 Google Admin 應用中的一個零日漏洞,令惡意程式能偷取憑證用於存取 Google for Work 賬號。
Sandbox 機制失守
Android 系統其中一種主要的安全機制就是 Sandbox ,系統中每一個應用在其獨立的 Sandbox 中運行, 互相不能讀取儲存的敏感資料。儘管有 API 供應用程式之間交換數據或互動,但都建基於應用程式間的共同協議。因此理論上 Sandbox 機制能保障數據安全。
但最近英國的 MWR InfoSecurity 安全顧問公司的研究人員就發布了一個 Google Admin 應用的零日漏洞,該漏洞可被惡意程式利用,繞過 Sandbox 機制讀取應用程式中的檔案。
研究人員發現,當 Google Admin 應用在行程間通訊(IPC)中收到同一裝置中,其他應用傳送過來的 URL 時,Admin 應用會在 Webview 模式下讀取該 URL。
如果攻擊者利用這個運作模式,使用 file:// URL 導向到他們所控制的檔案,就有可能用符號連結 (Symbolic Links) 繞過同源政策 (Same-origin policy),讀取 Google Admin sandbox 內的資料。
漏洞早發現 Google 承諾更新卻再三拖延
MWR InfoSecurity 在其報告中亦有詳細講述黑客可以如何利用這個漏洞攻擊,由於目前 Google 尚未有針對該漏洞的更新,因此報告中建議所有安裝了 Google Admin 應用的裝置不要安裝任何來歷不明的第三方應用程式。
Google App for Work 被不少公司或機構採用,安全威脅不容忽視。MWR 高級安全研究員 Robert Miller 稱,Google Admin 應用可以讓公司的管理人員在他們的 Android 裝置中管理 Gmial for Work 賬號,而 Google Admin sandbox 中儲存著 Google for Work 的登入驗證 Token 檔案,一旦管理人員的裝置中安裝了惡意應用程式,就可以利用該漏洞存取 Token 檔案並登入公司在 Google for Work 內儲存的資料。
對於今次零日漏洞的公佈,MWR 研究人員聲稱他們已早於今年 3 月 17 日將漏洞報告給 Google。但 Google 在承諾釋出更新修復漏洞後,一再拖延推遲。直到報告公佈當日即 8 月 13 日,依然未有任何更新修復該漏洞,因此 MWR 方面決定公開漏洞報告。而目前 Google 亦未有回應。
Source: ComputerWorld