Una vulnerabilidad no parchada en la aplicación de administración de Google para Android, Google Admin, permite a aplicaciones falsas robar credenciales que podrían ser utilizadas para tener acceso a las cuentas de trabajo de Google.

Uno de los principales aspectos del modelo de seguridad de Android es que las aplicaciones se ejecuten en sus propios entornos limitados y no puedan leer datos sensibles de las otras a través del sistema de archivos. Hay algunas API para las aplicaciones que interactúan entre sí e intercambian datos, pero esto requiere un acuerdo mutuo.

La firma de seguridad MWR InfoSecurity del Reino Unido descubrió una falla en la aplicación del administrador de Google que podría ser explotada por aplicaciones potencialmente maliciosas para entrar a la zona de pruebas de la aplicación y leer sus archivos.

La falla radica en la forma en que Google administra los procesos y carga las URL recibidas de otras aplicaciones dentro de la WebView, una ventana de navegador simplificada.

Si una aplicación falsa envía una solicitud a Google Admin (o "trata" con el lenguaje de Android) con un apuntador de URL a un archivo local HTML legible por los controles de las aplicaciones falsas, Google Admin cargará el código del archivo en un WebView.

El atacante puede poner un iframe dentro del código HTML para cargar el mismo archivo de nuevo después de un retardo de un segundo, según explicaron los investigadores de MWR en un aviso publicado el jueves. Después de que Google Admin cargue el código HTML, pero antes de que intente cargar el iframe, el atacante puede reemplazar el archivo original con el que tiene el mismo nombre pero actúa como un enlace simbólico a un archivo dentro de la aplicación del administrador de Google, dijeron.

WebView cuenta con un mecanismo de seguridad llamado Same-Origin Policy que está presente en todos los navegadores y que impide a una página web leer o cargar código en un iframe a menos que tanto la página como el iframe tengan el mismo origen, nombre de dominio y protocolo.

A pesar de que el código cargado en el iframe pertenece a un archivo de Google Admin, su origen es el mismo que el archivo de la aplicación falsa gracias al truco del enlace simbólico. Esto significa que el código HTML originalmente cargado en la WebView puede leer el archivo de administración de Google posteriormente cargado en el iframe, pasando su contenido a la aplicación falsa.

"La aplicación Google Admin para Android permite que el administrador de la empresa gestione sus cuentas de trabajo de Gmail desde su teléfono Android", dijo Robert Miller, investigador senior de seguridad de MWR, a través de correo electrónico. "Un archivo clave en la sandbox del administrador de Google es un archivo que soporta un token que es usado por la aplicación para autenticarse con el servidor. Una aplicación maliciosa podría aprovechar la vulnerabilidad encontrada para leer este token y tratar de iniciar sesión en el servidor de Google fo Work".

Los investigadores MWR afirman que ellos reportaron la vulnerabilidad de Google el 17 de marzo, pero incluso después de la concesión de la empresa para extender la fecha límite de divulgación de 90 días, todavía no se ha fijado.