Google besitzt einen geheimen Browser, der in den Einstellungen versteckt ist

 (matan-h.com)
1 Punkte von GN⁺ 2023-06-27 | 2 Kommentare | Auf WhatsApp teilen
  • In dem Popup „Mein Konto verwalten“ in Android-Apps wurde ein geheimer Browser entdeckt. Dazu gehören die Einstellungen sowie Google-Suite-Apps.
  • Nutzer können über eine Reihe von Schritten im Sicherheit-Tab des Popups „Mein Konto verwalten“ auf den Browser zugreifen.
  • Dieser Browser hat keinen Verlauf, und nach Ende der Sitzung wird man automatisch vom Google-Konto abgemeldet.
  • Allerdings hat dieser Browser keine Adressleiste, und der Zurück-Button führt zu den Einstellungen der Passwortverwaltung zurück.
  • Dieser Browser enthält riskante Funktionen, darunter zwei Methoden, die genutzt werden könnten, um einen lokalen Verschlüsselungsschlüssel zu setzen, der Nutzer auf bösartigen Websites zu Zahlungen verleiten kann.
  • Dieser Browser umgeht eine Jugendschutzfunktion, die Google als „beabsichtigtes Verhalten“ einstuft.
  • Die Person, die diesen Browser entdeckt hat, meldete ihn Google, doch Google stufte dies nicht als Sicherheitslücke ein.

Verwandte Beiträge

2 Kommentare

 
wedding 2023-06-28

Als ich in die Passwortverwaltung gegangen bin, hatte ich immer das Gefühl, dass alles irgendwie einen Takt langsamer ist … dann war das wohl doch nicht nur Einbildung.
 
GN⁺ 2023-06-27
Hacker-News-Kommentare
  • Wenn man in der Android-Einstellungs-App von Google auf „Mein Konto verwalten“ klickt, gelangt man zu einer in Google Play Services eingebetteten Activity, die letztlich zu einem versteckten Browser führt.
  • Dieser Browser verwendet nicht die Standard-Implementierung der System-WebView, sondern eine benutzerdefinierte Implementierung, die mit addJavascriptInterface eine JS-Schnittstelle zwischen Android-Code und JavaScript-Code aufbaut.
  • Die Schnittstelle MagicArchChallengeView ist größtenteils leer und scheint mit der Klasse bwuz verbunden zu sein, die wiederum mit einigen anderen verschleierten Klassen verknüpft ist.
  • Die beiden Klassen qvc und pdn legen Funktionen offen, die mit der Kontosicherheit zusammenhängen, etwa setVaultSharedKeys und addEncryptionRecoveryMethod.
  • Dieser versteckte Browser könnte ein interessanter Angriffsvektor sein, den es näher zu untersuchen lohnt.
  • Einige Kommentatoren teilen ihre Erfahrungen damit, in verschiedenen Einstellungen oder Anwendungen versteckte Browser oder Workarounds gefunden zu haben.
  • Ein Kommentator berichtet von einer frustrierenden Erfahrung, bei der er Google einen Bug meldete und eine Bug-Bounty-Anerkennung abgelehnt wurde.