Google memiliki browser rahasia yang tersembunyi di dalam Setelan

 (matan-h.com)
1 poin oleh GN⁺ 2023-06-27 | 2 komentar | Bagikan ke WhatsApp
  • Sebuah browser rahasia ditemukan di popup "Kelola Akun Anda" pada aplikasi Android, termasuk Setelan dan aplikasi Google Suite.
  • Pengguna dapat mengakses browser tersebut melalui serangkaian langkah di dalam tab keamanan pada popup "Kelola Akun Anda".
  • Browser ini tidak memiliki riwayat, dan akan otomatis keluar dari Akun Google saat sesi berakhir.
  • Namun, browser ini tidak memiliki bilah alamat, dan tombol kembali akan membawa pengguna ke setelan pengelolaan kata sandi.
  • Browser ini memiliki fitur berbahaya, termasuk dua metode yang dapat digunakan untuk menetapkan kunci enkripsi lokal yang bisa mendorong pengguna membayar di situs web berbahaya.
  • Browser ini melewati kontrol orang tua yang oleh Google dianggap sebagai "perilaku yang dimaksudkan".
  • Orang yang menemukan browser ini telah melaporkannya ke Google, tetapi Google tidak mengklasifikasikannya sebagai kerentanan keamanan.

Bacaan terkait

2 komentar

 
wedding 2023-06-28

Saat masuk ke pengelola kata sandi, rasanya memang ada sedikit jeda.. jadi ini bukan cuma perasaanku ya.
 
GN⁺ 2023-06-27
Komentar Hacker News
  • Di aplikasi Setelan Android milik Google, saat mengklik "Kelola akun saya", pengguna akan diarahkan ke aktivitas yang tertanam di Google Play Services, yang pada akhirnya mengarah ke browser tersembunyi.
  • Browser ini tidak menggunakan implementasi WebView sistem bawaan, melainkan implementasi kustom yang memakai addJavascriptInterface untuk membangun antarmuka JS antara kode Android dan kode JavaScript.
  • Antarmuka MagicArchChallengeView tampaknya sebagian besar kosong, dan terlihat terhubung ke kelas "bwuz" yang terhubung ke beberapa kelas lain yang telah diobfusksi.
  • Dua kelas, "qvc" dan "pdn", mengekspos fungsi yang berkaitan dengan keamanan akun seperti setVaultSharedKeys dan addEncryptionRecoveryMethod.
  • Browser tersembunyi ini bisa menjadi vektor serangan yang menarik untuk dieksplorasi lebih lanjut.
  • Beberapa komentator membagikan pengalaman mereka menemukan browser tersembunyi atau solusi serupa di berbagai setelan atau aplikasi.
  • Seorang komentator membagikan pengalaman frustrasinya saat melaporkan bug ke Google dan ditolak untuk bug bounty.