Google tiene un navegador secreto oculto dentro de Configuración

 (matan-h.com)
1 puntos por GN⁺ 2023-06-27 | 2 comentarios | Compartir por WhatsApp
  • Se descubrió un navegador secreto en la ventana emergente de "Administrar tu Cuenta de Google" dentro de apps de Android. Esto incluye Configuración y las apps de Google Workspace.
  • Los usuarios pueden acceder al navegador siguiendo una serie de pasos dentro de la pestaña de seguridad de la ventana emergente de "Administrar tu Cuenta de Google".
  • Este navegador no tiene historial y cierra automáticamente la sesión de la Cuenta de Google cuando termina la sesión.
  • Sin embargo, este navegador no tiene barra de direcciones y el botón de retroceso vuelve a la configuración del administrador de contraseñas.
  • Este navegador tiene funciones peligrosas, incluidos dos métodos que podrían usarse para establecer claves locales de cifrado que hagan que sitios web maliciosos intenten inducir a los usuarios a pagar.
  • Este navegador evita controles parentales que Google considera un "comportamiento esperado".
  • La persona que descubrió este navegador lo reportó a Google, pero Google no lo clasificó como una vulnerabilidad de seguridad.

Lecturas relacionadas

2 comentarios

 
wedding 2023-06-28

Cuando entrabas al administrador de contraseñas, se sentía como si todo respondiera con un pequeño retraso... quizá no era solo mi imaginación.
 
GN⁺ 2023-06-27
Opiniones de Hacker News
  • Al hacer clic en "Administrar mi cuenta" dentro de la app de Ajustes de Android de Google, te lleva a una actividad integrada en los Servicios de Google Play, lo que finalmente conduce a un navegador oculto.
  • Este navegador no usa la implementación predeterminada de WebView del sistema, sino una implementación personalizada que utiliza addJavascriptInterface para construir una interfaz JS entre el código de Android y el código JavaScript.
  • La interfaz MagicArchChallengeView parece estar mayormente vacía y conectada a una clase llamada bwuz, que a su vez se enlaza con varias otras clases ofuscadas.
  • Dos clases, qvc y pdn, exponen funciones relacionadas con la seguridad de la cuenta, como setVaultSharedKeys y addEncryptionRecoveryMethod.
  • Este navegador oculto podría ser un vector de ataque interesante que vale la pena explorar con más detalle.
  • Algunos comentaristas comparten sus experiencias encontrando navegadores ocultos o soluciones similares en distintos ajustes o aplicaciones.
  • Un comentarista comparte su frustrante experiencia de haber reportado un bug a Google y que rechazaran darle una recompensa por el hallazgo.