کمیته رکن چهارم – پس از ناکام ماندن گوگل در اصلاح یک آسیب پذیری در کنسول ادمین، جزئیات آن توسط یک محقق امنیتی افشاء شد.
به گزارش کمیته رکن چهارم،یک مشکل امنیتی در کنسول گوگل ادمین به برنامه های کاربردی اجازه می دهد تا محدودیت های sandbox را دور زنند.
راب میلر، یک محقق امنیتی در آزمایشگاه MWR Labs گفت: این آسیب پذیری در برنامه کاربردی ادمین اندروید گوگل یافت شده است و به برنامه های کاربردی متفرقه اجازه می دهد تا محدودیت های sandbox را دور زنند و از طریق لینک های نمادین، فایل های دلخواه را بخوانند.
اگر کنسول از طریق یک فراخوان IPC از برنامه ای از دستگاه دیگر یک درخواست URL را دریافت کند، برنامه اندروید این لینک را در WebView لود می کند. با اینحال، اگر مهاجمی از آدرس file:// URL استفاده کند، این امکان وجود دارد که لینک های نمادین خط مشی مبدا یکسان را دور زند و داده های را خارج از sandbox بازیابی کند.
در نتیجه اگر برنامه های کاربردی متفرقه از مکان های نامعتبر یا خرابکار نصب شده باشد به مهاجمان کنترل کننده برنامه اجازه می دهد تا داده ها را از هر فایلی در گوگل ادمین بخوانند.
در زمان افشای این آسیب پذیری نسخه اصلاح شده ای برای برنامه گوگل ادمین منتشر نشده است. برای کاهش خطر سوء استفاده از این آسیب پذیری، دستگاه هایی که از گوگل ادمین استفاده می کنند نباید از برنامه های کاربردی متفرقه و نامعتبر استفاده کنند.
منبع:مرکز ماهر
