سكس نار Video
يمكن أن تسمح الثغرة غير الثابتة في تطبيق Google Admin for Android للتطبيقات المارقة بسرقة بيانات الاعتماد التي يمكن استخدامها للوصول إلى حسابات Google for Work.
يتمثل أحد الجوانب الرئيسية في نموذج أمان Android في تعمل التطبيقات في صناديق رمل خاصة بها ولا يمكنها قراءة البيانات الحساسة لكل منها من خلال نظام الملفات. هناك واجهات برمجة التطبيقات للتطبيقات للتفاعل مع بعضها البعض وتبادل البيانات ، ولكن هذا يتطلب اتفاقًا متبادلًا.
ولكن الباحثين من شركة استشارات الأمان MWR InfoSecurity في المملكة المتحدة اكتشفوا خللًا في تطبيق مشرف Google الذي يمكن استغلاله من قِبل التطبيقات الضارة المحتملة لكسر في الصندوق الرامي للتطبيق وقراءة ملفاته.
[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]يقع الخلل في الطريقة التي يعالج بها مشرف Google ويحمّل عناوين URL التي تم تلقيها من تطبيقات أخرى داخل WebView-
إذا كان أحد التطبيقات المارقة يرسل إلى مشرف Google طلبًا أو "نية" في لغة Android - مع عنوان URL يشير إلى ملف HTML محلي قابل للقراءة عالميًا بحيث يتحكم التطبيق المارقة ، فسيحمِّل مشرف Google الملف رمز في WebView.يمكن للمهاجم وضع iframe داخل رمز HTML الذي سيتم تحميل نفس الملف مرة أخرى بعد تأخير ثانية واحدة ، وأوضح الباحثون MWR في تقرير استشاري نشر الخميس. بعد أن يحمِّل مشرف Google شفرة HTML ، ولكن قبل محاولة تحميل iframe ، يمكن للمهاجم استبدال الملف الأصلي بواحد له نفس الاسم ولكنه يعمل كحلٍ رمزي لملف داخل تطبيق مشرف Google ، على حد قولهم.
يحتوي WebView على آلية أمان تُعرف بسياسة Same-Origin موجودة في جميع المتصفحات وتمنع صفحة الويب من القراءة أو تغيير الشفرة المحملة في iframe ما لم يكن كل من الصفحة و iframe يشتركان في نفس اسم النطاق الأصلي والبروتوكول
على الرغم من أن الرمز الذي تم تحميله في iframe ينتمي إلى ملف مشرف Google ، فإن أصله هو نفس مصدر الملف من التطبيق المارقة بفضل خدعة الترميز. وهذا يعني أن شفرة HTML الأصلية التي تم تحميلها في WebView يمكن أن تقرأ ملف Google Admin الذي تم تحميله لاحقًا في iframe ، وتمرير محتواه إلى التطبيق المارقة.
"يتيح تطبيق Google Admin لنظام Android لمشرف الشركة إدارة Gmail لشركتهم وقال روبرت ميلر ، باحث أمني بارز في MWR ، عبر البريد الإلكتروني: "حسابات العمل من هاتف Android الخاص به". "ملف مفتاح في sandbox مسؤول Google هو ملف يحمل رمزًا مميزًا يستخدمه التطبيق للمصادقة على نفسه مع الخادم. يمكن أن يستغل تطبيق ضار الثغرة التي تم العثور عليها لقراءة هذا الرمز المميز ومحاولة تسجيل الدخول إلى خادم Google for Work. "
يدعي الباحثون في MWR أنهم أبلغوا عن مدى الضعف أمام Google في 17 آذار ، ولكن حتى بعد منح الشركة التمديد إلى الموعد النهائي للإفصاح عن 90 يومًا ، لم يتم إصلاحه بعد.
"لم يتم إصدار أي نسخة محدثة اعتبارًا من وقت النشر ،" قال الباحثون في MWR في الإرشاد.
لم على الفور الرد على طلب للتعليق.
يسمح نظام التشغيل Windows 10 للتطبيقات بفحص محتوياتها بحثًا عن البرامج الضارة بشكل فعال
سيكون بمقدور المطورين التحدث بتطبيقاتهم إلى البرامج المثبتة محليًا برامج مكافحة الفيروسات من خلال واجهة برمجة التطبيقات الجديدة
عيب اليوم صفر في تطبيق وحدة تحكم المشرف في Google يسمح للتطبيقات الضارة بقراءة ملفاتها
يمكن للمهاجمين الحصول على بيانات الاعتماد المستخدمة لإدارة حسابات Google for Work
![هذا هو iphone 6 و iphone 6 plus [صور وفيديو]](https://i.joecomp.com/img/iphone/394/this-is-iphone-6-iphone-6-plus.jpg)
