Хакер может обойти политику единого источника и получить доступ к данным песочницы приложения Admin.
ИБ-исследователи из MWR Labs обнаружили уязвимость, которая позволяет обойти песочницу в Android. Брешь возникает в процессе обработки некоторых URL приложением Google Admin на Android-смартфонах. Уязвимость затрагивает текущую и более ранние версии приложения.
Когда другое приложение на целевом мобильном устройстве посылает Google Admin определенный вид URL, злоумышленник может воспользоваться символьными ссылками для того, чтобы обойти политику единого источника (Same Origin Policy) и получить доступ к данным песочницы Admin. Злоумышленник может проэксплуатировать данную уязвимость с помощью вредоносного приложения на устройстве пользователя.
Специалисты из MWR Labs сообщили Google о бреши еще в марте 2015 года. Разработчики компании заявили, что обновление будет готово уже к июню текущего года, однако исправление так и не было выпущено. MWR Labs рекомендуют пользователям Android-устройств, до тех пор, пока необходимое обновление не станет доступным, не устанавливать на смартфон непроверенные приложения.
Сбалансированная диета для серого вещества