DEF CON黑客大會上研究人員表示，谷歌Android的單點登錄功能“weblogin”很方便，但可能讓企業(yè)的谷歌應用程序受到威脅。

Tripwire公司高級安全研究人員Craig Young發(fā)現(xiàn)多個攻擊向量，允許攻擊者通過一個Android設備入侵到受害者的谷歌云應用程序。這個漏洞也被稱為“weblogin”，Android使用這個令牌來允許用戶一次性登錄所有谷歌服務，當攻擊者獲得這個weblogin令牌后，將可能獲得對訪問域控制面板的控制。

Young在DEF CON黑客大會上稱：“我完全可以攻擊Google Apps，只需要一個令牌。”Young此前曾延時了Android如何被用來繞過谷歌的兩步驟身份驗證，他表示，他一直很好奇Android與Google Apps結合使用的風險問題。

Android的weblogin功能基本上是使用cookies來訪問谷歌服務，而不是密碼。但是該功能帶來方便的同時，也帶來風險：如果攻擊者使用它來訪問域控制面板，那么，攻擊者就可以重置密碼，執(zhí)行“數(shù)據(jù)轉儲”，并下載驅動文件。

“我進行這個令牌研究的原因是，我一年前購買了一個Android平板電腦，并發(fā)現(xiàn)Chrome會自動讓我登錄到谷歌的網(wǎng)站，這讓我非常詫異。當時，我還沒有意識到Google Apps控制面板可能這樣被暴露：這真的是一個啟示，”Young表示，“我現(xiàn)在已經(jīng)用了一段時間的Google Apps，總是使用該管理員賬號登陸。”

在意識到潛在的風險后，Young停止了這種做法，并啟動了其最新研究。Young表示，防止這種攻擊的最好方法是避免在Android設備上使用管理員賬戶，并對令牌請求保持懷疑態(tài)度。旨在可信賴應用商店和可信供應商購買應用程序，并運行殺毒軟件來尋找根級漏洞利用。

他表示：“使用谷歌云計算的企業(yè)需要確保其IT管理員需要由管理員權限來訪問Google Apps控制面板，而不是從其Android手機，如果從手機登陸，他們需要輸入一個密碼。”谷歌今年早些時候獲知了Young的研究結果，谷歌還沒有對Young的研究做出回應。

Young表示，“谷歌已經(jīng)解決了一些問題，他們告訴我很快會解決這個問題，但還沒有解決，他們需要阻止對Google Apps控制面板的訪問。”

Young表示，攻擊者可能訪問Android用戶的weblogin或者令牌，使用根級漏洞利用或者被感染的應用程序。“然后他們可以訪問你的Gmail，閱讀所有你的郵件和聯(lián)系人信息，并重置你的賬戶密碼，這是很可怕的事情，你可能都不會意識到別人在使用你的賬戶。”

即使攻擊者不能得到管理員手機令牌，他仍然可以獲得weblogin令牌，來訪問Android用戶已經(jīng)訪問的所有文件。Young測試發(fā)現(xiàn)，攻擊者可以很容易的在谷歌Play商店中植入惡意應用程序。他創(chuàng)建了一個假冒的應用程序“Stock Viewer”，售價為150美元，一個月左右都未被發(fā)現(xiàn)，即使其描述這樣寫道“該應用程序提供對你的Google Stock Portfolio的快速訪問，同時完全破壞你的隱私。如果你想要方便，而不是安全性，這款應用程序就是你的最好選擇。該應用程序目前正在測試中，不能被任何人安裝。”

該應用程序并不包含根級漏洞利用，但Young表示，如果有的話，他相信谷歌可能已經(jīng)抓住了這個漏洞代碼。即便如此，Play商店和蘋果的應用商店并不是萬無一失的。事實上，Young指出：“他們并沒有及西寧源代碼審查，他們只是查看二進制格式的東西。所以你不能依靠谷歌或蘋果來確保應用的安全性。”