DEF CON黑客大會(huì)上研究人員表示，谷歌Android的單點(diǎn)登錄功能“weblogin”很方便，但可能讓企業(yè)的谷歌應(yīng)用程序受到威脅。

Tripwire公司高級(jí)安全研究人員Craig Young發(fā)現(xiàn)多個(gè)攻擊向量，允許攻擊者通過一個(gè)Android設(shè)備入侵到受害者的谷歌云應(yīng)用程序。這個(gè)漏洞也被稱為“weblogin”，Android使用這個(gè)令牌來允許用戶一次性登錄所有谷歌服務(wù)，當(dāng)攻擊者獲得這個(gè)weblogin令牌后，將可能獲得對(duì)訪問域控制面板的控制。

Young在DEF CON黑客大會(huì)上稱：“我完全可以攻擊Google Apps，只需要一個(gè)令牌。”Young此前曾延時(shí)了Android如何被用來繞過谷歌的兩步驟身份驗(yàn)證，他表示，他一直很好奇Android與Google Apps結(jié)合使用的風(fēng)險(xiǎn)問題。

Android的weblogin功能基本上是使用cookies來訪問谷歌服務(wù)，而不是密碼。但是該功能帶來方便的同時(shí)，也帶來風(fēng)險(xiǎn)：如果攻擊者使用它來訪問域控制面板，那么，攻擊者就可以重置密碼，執(zhí)行“數(shù)據(jù)轉(zhuǎn)儲(chǔ)”，并下載驅(qū)動(dòng)文件。

“我進(jìn)行這個(gè)令牌研究的原因是，我一年前購買了一個(gè)Android平板電腦，并發(fā)現(xiàn)Chrome會(huì)自動(dòng)讓我登錄到谷歌的網(wǎng)站，這讓我非常詫異。當(dāng)時(shí)，我還沒有意識(shí)到Google Apps控制面板可能這樣被暴露：這真的是一個(gè)啟示，”Young表示，“我現(xiàn)在已經(jīng)用了一段時(shí)間的Google Apps，總是使用該管理員賬號(hào)登陸。”

在意識(shí)到潛在的風(fēng)險(xiǎn)后，Young停止了這種做法，并啟動(dòng)了其最新研究。Young表示，防止這種攻擊的最好方法是避免在Android設(shè)備上使用管理員賬戶，并對(duì)令牌請(qǐng)求保持懷疑態(tài)度。旨在可信賴應(yīng)用商店和可信供應(yīng)商購買應(yīng)用程序，并運(yùn)行殺毒軟件來尋找根級(jí)漏洞利用。

他表示：“使用谷歌云計(jì)算的企業(yè)需要確保其IT管理員需要由管理員權(quán)限來訪問Google Apps控制面板，而不是從其Android手機(jī)，如果從手機(jī)登陸，他們需要輸入一個(gè)密碼。”谷歌今年早些時(shí)候獲知了Young的研究結(jié)果，谷歌還沒有對(duì)Young的研究做出回應(yīng)。

Young表示，“谷歌已經(jīng)解決了一些問題，他們告訴我很快會(huì)解決這個(gè)問題，但還沒有解決，他們需要阻止對(duì)Google Apps控制面板的訪問。”

Young表示，攻擊者可能訪問Android用戶的weblogin或者令牌，使用根級(jí)漏洞利用或者被感染的應(yīng)用程序。“然后他們可以訪問你的Gmail，閱讀所有你的郵件和聯(lián)系人信息，并重置你的賬戶密碼，這是很可怕的事情，你可能都不會(huì)意識(shí)到別人在使用你的賬戶。”

即使攻擊者不能得到管理員手機(jī)令牌，他仍然可以獲得weblogin令牌，來訪問Android用戶已經(jīng)訪問的所有文件。Young測試發(fā)現(xiàn)，攻擊者可以很容易的在谷歌Play商店中植入惡意應(yīng)用程序。他創(chuàng)建了一個(gè)假冒的應(yīng)用程序“Stock Viewer”，售價(jià)為150美元，一個(gè)月左右都未被發(fā)現(xiàn)，即使其描述這樣寫道“該應(yīng)用程序提供對(duì)你的Google Stock Portfolio的快速訪問，同時(shí)完全破壞你的隱私。如果你想要方便，而不是安全性，這款應(yīng)用程序就是你的最好選擇。該應(yīng)用程序目前正在測試中，不能被任何人安裝。”

該應(yīng)用程序并不包含根級(jí)漏洞利用，但Young表示，如果有的話，他相信谷歌可能已經(jīng)抓住了這個(gè)漏洞代碼。即便如此，Play商店和蘋果的應(yīng)用商店并不是萬無一失的。事實(shí)上，Young指出：“他們并沒有及西寧源代碼審查，他們只是查看二進(jìn)制格式的東西。所以你不能依靠谷歌或蘋果來確保應(yīng)用的安全性。”