- Dari pop-up Manage my account di Android, terbuka layar yang bisa berpindah ke situs web biasa, dan juga dapat diakses dari Settings serta rangkaian aplikasi Google
- Jalur masuknya melewati tab Security di pengelolaan akun Google, Password Manager, bantuan enkripsi di perangkat, kebijakan privasi, lalu menu Search secara berurutan
- Layar ini bahkan bisa memutar YouTube, tetapi tidak memiliki riwayat kunjungan maupun bilah alamat, dan tombol kembali membawa pengguna ke layar pengaturan, bukan ke riwayat web
- Di konsol JavaScript terlihat objek
mmserta fungsicloseView(),requestSecurityKeyHandshake(), danupdateSecurityKey(); kegunaan sebenarnya dari sebagian fungsi belum terkonfirmasi - Google awalnya menjawab bahwa ini bukan kerentanan keamanan dan bypass parental control juga merupakan perilaku yang disengaja, tetapi 3 hari setelah publikasi dan pemberitaan media, Google memberi tahu bahwa laporan tersebut akan ditinjau ulang
Browser tersembunyi yang terbuka di dalam Pengaturan Android
- Beberapa aplikasi di Android memiliki pop-up Manage my account, dan ini juga dapat diakses dari aplikasi utama seperti Settings dan rangkaian aplikasi Google
- Setelah beberapa langkah, bagian dalam pop-up berperilaku seperti browser yang bisa berpindah ke situs web biasa
- Settings → pilih “Manage my account” dari Google atau aplikasi yang memungkinkan pemilihan akun
- Di tab “Security”, pilih “Password Manager”
- Pilih ikon
Settingsdi kanan atas - Pilih “Set up on-device encryption” → “Learn more about on-device encryption”
- Dari menu hamburger, masuk ke “Privacy Policy”
- Tekan menu sembilan titik di bagian atas, tunggu sekitar 5 detik, lalu pilih “Search”, atau masuk ke item
Google - Jika logout dari akun Google, layar ini dapat digunakan seperti browser yang bisa menuju ke mana saja
- Dalam kondisi ini, pemutaran video YouTube juga bisa dilakukan, dan layarnya terbuka di dalam aplikasi Settings atau aplikasi tempat pertama kali masuk
-
Perbedaannya dengan browser biasa
- Tidak meninggalkan riwayat kunjungan
- Saat sesi berakhir, akun Google yang sedang login otomatis logout
- Tidak ada bilah alamat
- Jika menekan tombol kembali, pengguna kembali ke pengaturan Password Manager, bukan ke halaman web sebelumnya
Objek JavaScript mm dan respons Google
- Di konsol JavaScript mobile seperti eruda, dapat ditemukan objek JavaScript bernama
mm - Objek
mmmemiliki tiga fungsicloseView(): menutup browser, dan berperilaku mirip ketika tombol kembali ditekanrequestSecurityKeyHandshake(): fungsinya belum terkonfirmasi, tetapi dari namanya terlihat sensitifupdateSecurityKey(): fungsinya belum terkonfirmasi, tetapi dari namanya terlihat sensitif
- Karena browser ini terbuka dari jalur fitur on-device encryption, kemungkinan bahwa dua fungsi yang belum terkonfirmasi itu berkaitan dengan pengaturan kunci enkripsi lokal masih sebatas dugaan
- Google menjawab laporan pertama bahwa ini bukan kerentanan keamanan, dan bypass parental control adalah “Intended Behavior”
- Setelah tulisan dipublikasikan, berbagai media berbahasa Inggris dan Rusia membahasnya, dan 3 hari setelah publikasi Google memberi tahu bahwa laporan tersebut akan ditinjau kembali
- Ada diskusi terkait di Hacker News discussion
2 komentar
Saat masuk ke pengelola kata sandi, rasanya memang ada sedikit jeda.. jadi ini bukan cuma perasaanku ya.
Pendapat Hacker News
Saya sempat menyelidiki sedikit, dan ketika menekan "Manage my account", ternyata tidak tetap berada di dalam aplikasi Settings, melainkan berpindah ke Activity yang di-embed di dalam Google Play Services
Pada akhirnya browser-nya adalah
com.google.android.gms/.auth.folsom.ui.GenericActivity, dan tampaknya tidak menggunakan Chrome yang merupakan implementasi default system WebView di ponsel sayaAndroid bisa membuat antarmuka antara kode Android dan kode JavaScript dengan
addJavascriptInterface, dan sepertinya GMS cukup banyak memakainya, jadi ini terlihat seperti permukaan serangan yang layak dilihat nantiAntarmuka
mmyang mencurigakan ada di dalamMagicArchChallengeView, dan terhubung ke kelasbwuzyang diobfuscate.bwuzsendiri nyaris kosong, tetapi kembali terhubung ke beberapa kelas terobfuscate lainnyaJika mencari string, terlihat bahwa dua kelas,
qvcdanpdn, mengekspos fungsi terkait, danpdntampak sebagai inti utamanya, sementaraqvcpunya log error berguna yang menunjukkan masing-masing parameter itu apasetVaultSharedKeysmengharapkan array objek JSON dengan dua nilai,gaiaIddanepoch, sertakey, lalu mengubahnya menjadi list dan meneruskannya ke kelas abstrak yang tampaknya sangat terkait dengan keamanan akunaddEncryptionRecoveryMethodmengharapkangaiaId, daftar security domain, dan kunci publik anggota, dan ini juga diteruskan ke kelas abstrak yang samaSaya berhenti di sini karena harus berangkat kerja, tetapi bukan hanya antarmuka ini, antarmuka lain yang diekspos GMS ke WebView juga tampak layak digali lebih lanjut
https://developer.android.com/reference/android/webkit/WebVi...
Sekalipun Blink, kemungkinan besar tidak semutakhir yang disediakan Chrome. Dari tautan dokumentasinya, sepertinya memang WebKit
https://2021.stateofthebrowser.com/speakers/alex-russell/
gaiaIditu ternyata singkatan dari Google Accounts and ID Administration ID; orang yang memberi nama itu untuk ID unik global Google pasti cukup bangga, dan memang pantas jugaSaya tidak paham apa bedanya ini dengan WebView embed lain. Bukannya hampir semua aplikasi menaruh embedded WebView untuk hal seperti "lihat kebijakan privasi"?
Sering kali jauh lebih mudah menampilkan HTML daripada menyerahkan seluruh kebijakan privasi ke pengembang aplikasi
Sepengetahuan saya, mengatur WebView yang mengizinkan banyak domain atau URL juga cukup sulit. Saya bukan developer Android, dan terakhir menyentuhnya pun sudah beberapa tahun lalu
Soal pengelolaan kunci itu masih lebih berupa dugaan, dan penulisnya juga belum menguji apa yang sebenarnya dilakukan, jadi levelnya masih sebatas “ada dua metode yang kelihatannya menakutkan, tapi saya tidak tahu sebenarnya apa”
Ini agak mirip dengan dulu saat orang mengakses internet lewat file bantuan CHM ketika browser diblokir
Sial, umur saya jadi ketahuan
Ini persis seperti cara saya dulu melewati aplikasi parental control di Windows waktu kecil
Waktu penggunaan komputer saya cuma 1 jam, dan setelah waktunya habis, semua aplikasi akan ditutup kecuali aplikasi Microsoft Office dengan alasan produktivitas
Setelah coba-coba menekan berbagai hal, saya entah bagaimana bisa membuka browser dari dalam Outlook dan main game Flash di Miniclip
Saya mengganti browser web default menjadi Terminal, lalu membuka Word, membuat tautan, dan mengkliknya. Biasanya Terminal yang dibuka secara normal dibatasi sehingga gagal menjalankan aplikasi lain, tetapi instance Terminal yang terbuka dengan cara ini punya izin lebih besar, jadi dengan
open /path/to/your/appkita bisa menjalankan hal seperti game dari disk yang disisipkanKetika guru pengawas belajar mandiri datang dan bertanya apakah kami boleh main Starcraft, saya menjawab, “Seperti yang Bapak/Ibu tahu, komputer-komputer ini sangat terkunci, jadi kalau kami bisa memainkan game ini, berarti sekolah mengizinkannya.” Saya masih tidak percaya itu berhasil
Kalau seorang anak bisa menemukan hack ini dan mengakses situs yang diblokir, menurut saya dia pantas menikmatinya
Ada trik bypass serupa di halaman lisensi
aboutIkuti tautan ke lisensi dan browser akan muncul. Berguna untuk memunculkan browser di head unit mobil atau sepeda Peloton
Kelihatannya seperti daftar semua file di dalam filesystem
Pengalaman orang yang melaporkan bug ke Google ini mengingatkanku pada pengalamanku sendiri
Saya: Ada bug di Google Sheets yang membuat konten yang sudah dihapus terekspos ke pihak ketiga
Google: Bukan bug. Bekerja sesuai yang dimaksud. Isu ditutup
Saya: Serius? Saya benar-benar dirugikan saat memakai aplikasi ini
Google: Sebenarnya ini memang bug, tapi karena sudah lama diketahui maka tidak termasuk bug bounty. Isu ditutup
Saya: Ada bug di Gmail yang memungkinkan email palsu menyembunyikan kegagalan DKIM dan terlihat seolah-olah normal
Google: "Won't fix (Intended Behavior)"
Saya: Jadi Google memang sengaja membuat email palsu terlihat normal di antarmuka?
Google: Sebenarnya ini isu yang sudah diketahui
Lebih parah lagi, artikel-artikel awal mencoba mengaitkan kerentanan itu dengan peretasan China/Rusia. Propaganda seperti itu pantas dikembalikan ke Google sendiri. Google adalah perusahaan AS, dan mereka membiarkan backdoor terbuka lebar sehingga bisa dieksploitasi siapa saja, baik asing maupun domestik. Pada kenyataannya, keduanya memang mengeksploitasinya
Google punya masalah yang nyata. Saya tidak tahu apa yang terjadi sejak 2019, tapi kondisinya tidak baik
Saya: Ada bug di Google Play Services
Google: Bukan bug. Bekerja sesuai yang dimaksud. Isu ditutup
Saya: Saya memposting bug itu di blog, dan media memberitakannya besar-besaran
Google: Sepertinya kami yang salah! Ini benar-benar bug. Kami akan menghubungi Anda lagi dalam beberapa minggu
Baru hari ini saya tahu ada yang namanya konsol JavaScript di ponsel
https://eruda.liriliri.io/
Anda bisa membuka developer tools dari komputer lain, dan semua informasi disinkronkan lewat WebSocket. Saya pernah memakainya saat debugging masalah di perangkat pelanggan
data:text/html,, tapi ini ternyata fiturnya sangat lengkapSaya dulu melakukan hal yang sama di lobi saat orang tua saya mengurus urusan bank
Pada masa itu tag best viewed in Netscape Navigator benar-benar ladang emas. Alurnya juga hampir sama: menekan-nekan sampai tag seperti itu muncul, lalu dari sana pindah ke mesin pencari
Setelah itu saya masuk ke situs streaming penuh adware mencurigakan, lalu begitu mengganti ke video lain, seluruh komputer Tesla hang dan mobilnya harus di-hard reboot
Ini mengingatkan saya pada versi Windows lama. Menekan F1 dulu bisa memicu berbagai perintah eksekusi lewat Windows Help
explorer.exelalu pilih Run”