Sicherheitsforscher findet Lücke in der Google-Admin-App
Die Anwendung verwaltet “Google for Work”-Nutzer- respektive Gruppen in Bildungseinrichtungen, Behörden und Firmen. Dritt-Apps sind in der Lage, sich ihre Rechte anzueignen. Zwischen März und der jetzigen Öffentlichmachung patchte Google diesen Bug nicht, gab aber nun ein Update frei.
Der Sicherheitsexperte Vahagn Vardanyan von MWR Labs hat eine Schwachstelle in Googles Admin-App publik gemacht. Dritt-Apps sind durch sie in der Lage, die Beschränkungen der Android-Sandbox zu umgehen und über symbolische Verknüpfungen auf beliebige Dateien zuzugreifen. Darüber informierte Vardanyan am Freitag auf Full Disclosure.
Angreifer müssen die App hierzu mit einem Link im Format file:// aufrufen und den String calledsetup_url mit einer URL versehen, auf die ihre App zugriffsberechtigt ist. Auf diese Weise lässt sich eine Web-Adresse mit den Zugriffsrechten von Google Admin in WebView öffnen. Per iFrame können dann beliebige Dateien ausgeführt werden, sodass sämtliche Daten von Google Admin in ihrer Reichweite sind.
Google Admin ist für die Verwaltung von “Google for Work“-Konten (früher Google Enterprise) vorgesehen, richtet sich also an Administratoren in Bildungseinrichtungen, Behörden und Firmen. Nutzerkonten lassen sich von Admin aus beispielsweise erstellen oder löschen. Zudem können Berichte eingesehen oder Gruppen verwaltet werden. Folglich handelt es sich um eine sicherheitsrelevante Applikation für hochrangiges IT-Personal in großen Einrichtungen.
Erstmals hatte Vardanyan die Sicherheitslücke am 17. März an Google gemeldet. Am darauffolgenden Tag bekam er eine Eingangsbestätigung. Weiter passierte nichts, bis MWR Labs im Juni nachhakte. Google musste sich eingestehen, das selbstgesteckte Zeitlimit überschritten zu haben, und bat um noch etwas Zeit vor der Veröffentlichung. Der Sicherheitsanbieter kündigte daraufhin erst im Juli eine Öffentlichmachung des Lecks an, welche er am 13. August ausführte.
Zu diesem Zeitpunkt hatte die App kein Update erhalten. Inzwischen ist jedoch eine Aktualisierung vom 14. August verfügbar, die das Problem möglicherweise behebt: In Google Play sind jedoch nur “Bug fixes” vermerkt. Bis zur endgültigen Klärung sollten auf Geräten mit der App Google Admin nur absolut vertrauenswürdige Apps installiert werden.
Loading ...Googles eigene Sicherheitsinitiative Project Zero ist bekannt dafür, Sicherheitslücken in fremden Produkten ohne Kompromiss 90 Tage nach Benachrichtigung des Anbieters zu veröffentlichen. Darüber hatte es schon einmal einen Streit mit Microsoft gegeben. Project Zero legt aber auch häufig Schwächen in Systemen von Adobe und Apple offen, die mit diesem Rhythmus weniger Probleme zu haben scheinen.
[mit Material von Florian Kalenda, ZDNet.de]
<!– Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit 15 Fragen bei ITespresso. –>Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.