谷歌真是風波不斷——近期，MWR實驗室的研究人員又發(fā)現一個0day漏洞。這個漏洞存在于安卓系統(tǒng)中Google Admin應用程序處理一些URL的方式中，攻擊者甚至可以通過這個漏洞繞過沙箱機制。

誰來統(tǒng)計一下最近倆禮拜有關安全漏洞的新聞，看哪家公司得了第一

MWR實驗室在報告中提到了該漏洞原理：當Google Admin應用程序接收到一個URL，并且該URL是通過同一設備上任何其他應用的IPC調用接收時，Admin程序會將這個URL加載到它活動內的Webview中。這時若攻擊者使用一個file:// URL鏈接到他們所控制的文件，那么就可以使用符號鏈接繞過同源策略，并接收到Admin沙箱中的數據。

據悉，MWR實驗室在今年3月就向谷歌報告了這個漏洞，谷歌則很快反饋說他們將在6月份發(fā)布針對該漏洞的補丁，然而直到現在這個補丁也未見蹤影。于是在上周，MWR實驗室通知谷歌表示他們“忍無可忍無須再忍”，并最終在周四公開了這份報告。

高冷的谷歌依舊并沒有對此事發(fā)表評論。

對安全漏洞愛答不理，看來谷歌真是全心修煉起名大法了？

對此，MWR實驗室建議那些帶有Google Admin應用的手機用戶：不要安裝不可信的第三方APP。

自從今年6月谷歌推出了“安卓安全獎勵”計劃之后，各家似乎對谷歌的找漏熱情更上一層樓。尤其是最近一個月以來，谷歌的安全技術團隊估計早就忘了什么叫風平浪靜的日子。不知道MWR實驗室這次拿不拿得到獎勵呢，因為按照谷歌的規(guī)定，漏洞在被告知谷歌以前便公之于眾，就無法獲得獎金嘍。

消息來源： Threatpost

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。