谷歌真是風(fēng)波不斷——近期，MWR實(shí)驗(yàn)室的研究人員又發(fā)現(xiàn)一個(gè)0day漏洞。這個(gè)漏洞存在于安卓系統(tǒng)中Google Admin應(yīng)用程序處理一些URL的方式中，攻擊者甚至可以通過(guò)這個(gè)漏洞繞過(guò)沙箱機(jī)制。

誰(shuí)來(lái)統(tǒng)計(jì)一下最近倆禮拜有關(guān)安全漏洞的新聞，看哪家公司得了第一

MWR實(shí)驗(yàn)室在報(bào)告中提到了該漏洞原理：當(dāng)Google Admin應(yīng)用程序接收到一個(gè)URL，并且該URL是通過(guò)同一設(shè)備上任何其他應(yīng)用的IPC調(diào)用接收時(shí)，Admin程序會(huì)將這個(gè)URL加載到它活動(dòng)內(nèi)的Webview中。這時(shí)若攻擊者使用一個(gè)file:// URL鏈接到他們所控制的文件，那么就可以使用符號(hào)鏈接繞過(guò)同源策略，并接收到Admin沙箱中的數(shù)據(jù)。

據(jù)悉，MWR實(shí)驗(yàn)室在今年3月就向谷歌報(bào)告了這個(gè)漏洞，谷歌則很快反饋說(shuō)他們將在6月份發(fā)布針對(duì)該漏洞的補(bǔ)丁，然而直到現(xiàn)在這個(gè)補(bǔ)丁也未見(jiàn)蹤影。于是在上周，MWR實(shí)驗(yàn)室通知谷歌表示他們“忍無(wú)可忍無(wú)須再忍”，并最終在周四公開(kāi)了這份報(bào)告。

高冷的谷歌依舊并沒(méi)有對(duì)此事發(fā)表評(píng)論。

對(duì)安全漏洞愛(ài)答不理，看來(lái)谷歌真是全心修煉起名大法了？

對(duì)此，MWR實(shí)驗(yàn)室建議那些帶有Google Admin應(yīng)用的手機(jī)用戶：不要安裝不可信的第三方APP。

自從今年6月谷歌推出了“安卓安全獎(jiǎng)勵(lì)”計(jì)劃之后，各家似乎對(duì)谷歌的找漏熱情更上一層樓。尤其是最近一個(gè)月以來(lái)，谷歌的安全技術(shù)團(tuán)隊(duì)估計(jì)早就忘了什么叫風(fēng)平浪靜的日子。不知道MWR實(shí)驗(yàn)室這次拿不拿得到獎(jiǎng)勵(lì)呢，因?yàn)榘凑展雀璧囊?guī)定，漏洞在被告知谷歌以前便公之于眾，就無(wú)法獲得獎(jiǎng)金嘍。

消息來(lái)源： Threatpost

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。