شناسایی حفره خطرناک در برنامه ادمین گوگل

تاریخ انتشار : ۲۴ مرداد ۱۳۹۴

شناسایی یک آسیب پذیری تازه در برنامه Google Admin برای اندروید موجب نگرانی شده است. این حفره به برنامه های مخرب و آلوده امکان می‌دهد تا اطلاعات لازم برای دسترسی به برخی حساب های گوگل را سرقت کنند.

به گزارش گرداب، فارس به نقل از کامپیوترورلد نوشت، حساب های کاربری در معرض خطر موسوم به Google for Work هستند که توسط کاربران حرفه‌ای و برای طراحی و انتشار برنامه ها و سرویس های مختلف برای استفاده کاربران گوگل به کار گرفته می شوند.
 
یکی از ویژگی های مدل امنیتی اندروید این است که داده های حساس برنامه های همراه قابل اجرا برای تست از طریق فایل سیستم در دسترس نیست و برای تبادل این نوع داده ها باید از رابط های کاربری خاص استفاده کرد و موافقت طراحان هر برنامه به این منظور اجباری است.
 
اما بررسی های موسسه امنیتی MWR InfoSecurity در بریتانیا ثابت کرده که آسیب پذیری برنامه گوگل ادمین به برنامه های مخرب امکان می دهد تا به فایل ها و داده های حساس برنامه های مختلف دسترسی پیدا کنند. نقص مذکور مربوط به نحوه پردازش و لود آدرس های URL دریافتی از دیگر برنامه ها در داخل پنجره مرورگر ساده شده WebView است.
 
سرقت اطلاعات به این روش به طور کاملا مخفیانه و نامحسوس رخ می دهد و لذا ممکن است طراحان برنامه ها به هیچ وجه متوجه آن نشوند. با توجه به امکان دسترسی حساب های Gmail for Work از این طریق خطرات زیادی هزاران کاربر گوگل را تهدید می کند.
 
شرکت امنیتی کاشف این مشکل می گوید اواخر زمستان گذشته گوگل را از این موضوع مطلع کرده، اما هنوز اقدامی برای برطرف کردن آسیب پذیری مذکور به عمل نیامده است. خود گوگل هنوز در این زمینه موضع گیری نکرده است.