Уязвимость в приложении Google Admin позволяет обойти песочницу

image

Теги: уязвимость, Android, Google Admin

Хакер может обойти политику единого источника и получить доступ к данным песочницы приложения Admin.

ИБ-исследователи из MWR Labs  обнаружили  уязвимость, которая позволяет обойти песочницу в Android. Брешь возникает в процессе обработки некоторых URL приложением Google Admin на Android-смартфонах. Уязвимость затрагивает текущую и более ранние версии приложения.

Когда другое приложение на целевом мобильном устройстве посылает Google Admin определенный вид URL, злоумышленник может воспользоваться символьными ссылками для того, чтобы обойти политику единого источника (Same Origin Policy) и получить доступ к данным песочницы Admin. Злоумышленник может проэксплуатировать данную  уязвимость  с помощью вредоносного приложения на устройстве пользователя.

Специалисты из MWR Labs сообщили Google о бреши еще в марте 2015 года. Разработчики компании заявили, что обновление будет готово уже к июню текущего года, однако исправление так и не было выпущено. MWR Labs рекомендуют пользователям Android-устройств, до тех пор, пока необходимое обновление не станет доступным, не устанавливать на смартфон непроверенные приложения. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.