DEF CON黑客大年夜会上研究人员暗示,谷歌Android的单点登录功能“weblogin”很便利,但可能让企业的谷歌利用法度遭到威胁。
Tripwire公司高级安然研究人员Craig Young发现多个报复打击向量,承诺报复打击者经由过程一个Android设备进侵到受害者的谷歌云利用法度。这个缝隙也被称为“weblogin”,Android利用这个令牌来承诺用户一次性登录所有谷歌办事,当报复打击者获得这个weblogin令牌后,将可能获得对拜候域节制面板的节制。
Young在DEF CON黑客大年夜会上称:“我完全可以报复打击Google Apps,只需要一个令牌。”Young此前曾延时了Android若何被用来绕过谷歌的两步调身份验证,他暗示,他一向很好奇Android与Google Apps连络利用的风险标题问题。
Android的weblogin功能根基上是利用cookies来拜候谷歌办事,而不是暗码。可是该功能带来便利的同时,也带来风险:假定报复打击者利用它来拜候域节制面板,那么,报复打击者便可以重置暗码,履行“数据转储”,并下载驱动文件。
“我进行这个令牌研究的启事是,我一年前采办了一个Android平板电脑,并发现Chrome会主动让我登录到谷歌的网站,这让我很是惊讶。那时,我还没成心想到Google Apps节制面板可能如许被透露:这真的是一个启迪,”Young暗示,“我此刻已用了一段时候的Google Apps,老是利用该治理员账号登岸。”
在乎想到暗藏的风险后,Young遏制了这类做法,并启动了其最新研究。Young暗示,避免这类报复打击的最好编制是避免在Android设备上利用治理员账户,并对令牌要求保持思疑立场。旨在可托赖利用商铺和可托供给商采办利用法度,并运行杀毒软件来寻觅根级缝隙操纵。
他暗示:“利用谷歌云计较的企业需要确保其IT治理员需要由治理员权限来拜候Google Apps节制面板,而不是从其Android手机,假定从手机登岸,他们需要输进一个暗码。”谷歌本年早些时辰获知了Young的研究成果,谷歌还没有对Young的研究做出回应。
Young暗示,“谷歌已解决了一些标题问题,他们奉告我很快会解决这个标题问题,但还没有解决,他们需要禁止对Google Apps节制面板的拜候。”
Young暗示,报复打击者可能拜候Android用户的weblogin或令牌,利用根级缝隙操纵或被传染的利用法度。“然后他们可以拜候你的Gmail,浏览所有你的邮件和联系人信息,并重置你的账户暗码,这是很可骇的工作,你可能都不会心识到他人在利用你的账户。”
即便报复打击者不克不及获得治理员手机令牌,他仍然可以获得weblogin令牌,来拜候Android用户已拜候的所有文件。Young测试发现,报复打击者可以很等闲的在谷歌Play商铺中植进歹意利用法度。他成立了一个假充的利用法度“Stock Viewer”,售价为150美元,一个月摆布都未被发现,即便其描述如许写道“该利用法度供给对你的Google Stock Portfolio的快速拜候,同时完全粉碎你的隐私。假定你想要便利,而不是安然性,这款利用法度就是你的最好选择。该利用法度今朝正在测试中,不克不及被任何人安装。”
该利用法度其实不包含根级缝隙操纵,但Young暗示,假定有的话,他相信谷歌可能已抓住了这个缝隙代码。即便如斯,Play商铺和苹果的利用商铺其实不是万无一掉的。事实上,Young指出:“他们并没有及西宁源代码审查,他们只是查看二进制格局的东西。所以你不克不及依托谷歌或苹果来确保利用的安然性。”