DEF CON黑客大会上研究人员表示,谷歌Android的单点登录功能“weblogin”很方便,但可能让企业的谷歌应用程序受到威胁。
Tripwire公司高级安全研究人员Craig Young发现多个攻击向量,允许攻击者通过一个Android设备入侵到受害者的谷歌云应用程序。这个漏洞也被称为“weblogin”,Android使用这个令牌来允许用户一次性登录所有谷歌服务,当攻击者获得这个weblogin令牌后,将可能获得对访问域控制面板的控制。
Young在DEF CON黑客大会上称:“我完全可以攻击Google Apps,只需要一个令牌。”Young此前曾延时了Android如何被用来绕过谷歌的两步骤身份验证,他表示,他一直很好奇Android与Google Apps结合使用的风险问题。
Android的weblogin功能基本上是使用cookies来访问谷歌服务,而不是密码。但是该功能带来方便的同时,也带来风险:如果攻击者使用它来访问域控制面板,那么,攻击者就可以重置密码,执行“数据转储”,并下载驱动文件。
“我进行这个令牌研究的原因是,我一年前购买了一个Android平板电脑,并发现Chrome会自动让我登录到谷歌的网站,这让我非常诧异。当时,我还没有意识到Google Apps控制面板可能这样被暴露:这真的是一个启示,”Young表示,“我现在已经用了一段时间的Google Apps,总是使用该管理员账号登陆。”
在意识到潜在的风险后,Young停止了这种做法,并启动了其最新研究。Young表示,防止这种攻击的最好方法是避免在Android设备上使用管理员账户,并对令牌请求保持怀疑态度。旨在可信赖应用商店和可信供应商购买应用程序,并运行杀毒软件来寻找根级漏洞利用。
他表示:“使用谷歌云计算的企业需要确保其IT管理员需要由管理员权限来访问Google Apps控制面板,而不是从其Android手机,如果从手机登陆,他们需要输入一个密码。”谷歌今年早些时候获知了Young的研究结果,谷歌还没有对Young的研究做出回应。
Young表示,“谷歌已经解决了一些问题,他们告诉我很快会解决这个问题,但还没有解决,他们需要阻止对Google Apps控制面板的访问。”
Young表示,攻击者可能访问Android用户的weblogin或者令牌,使用根级漏洞利用或者被感染的应用程序。“然后他们可以访问你的Gmail,阅读所有你的邮件和联系人信息,并重置你的账户密码,这是很可怕的事情,你可能都不会意识到别人在使用你的账户。”
即使攻击者不能得到管理员手机令牌,他仍然可以获得weblogin令牌,来访问Android用户已经访问的所有文件。Young测试发现,攻击者可以很容易的在谷歌Play商店中植入恶意应用程序。他创建了一个假冒的应用程序“Stock Viewer”,售价为150美元,一个月左右都未被发现,即使其描述这样写道“该应用程序提供对你的Google Stock Portfolio的快速访问,同时完全破坏你的隐私。如果你想要方便,而不是安全性,这款应用程序就是你的最好选择。该应用程序目前正在测试中,不能被任何人安装。”
该应用程序并不包含根级漏洞利用,但Young表示,如果有的话,他相信谷歌可能已经抓住了这个漏洞代码。即便如此,Play商店和苹果的应用商店并不是万无一失的。事实上,Young指出:“他们并没有及西宁源代码审查,他们只是查看二进制格式的东西。所以你不能依靠谷歌或苹果来确保应用的安全性。”
