Outro navegador secreto do Google

 (matan-h.com)
2 pontos por GN⁺ 2024-02-03 | 1 comentários | Compartilhar no WhatsApp

Descoberto outro navegador secreto dentro dos Serviços do Google Play

  • Existe um navegador secreto oculto dentro dos Serviços do Google Play.
  • Esse navegador pode ser acessado por meio de um link e pode contornar os controles parentais padrão do Google e o "modo de bloqueio".
  • Também foi descoberto um método semelhante para contornar o recurso de fixação de tela do Android por meio do app Contatos.

Como acessar?

  • Entre no app Contatos e adicione um novo contato ou edite um contato existente.
  • Clique em "Adicionar campo" e, no campo "Website", insira https://gds.google.com/gmsdrops e salve.
  • Ao clicar no link do contato salvo, é possível acessar o navegador secreto dentro do app Serviços do Google Play.

Por que esse método funciona?

  • No modo de bloqueio, o Google bloqueia todos os apps, mas os Serviços do Google Play e o app Contatos são exceções.
  • https://gds.google.com/gmsdrops é um deeplink para o recurso "Novidades" do Android.
  • Os controles parentais não conseguem abrir deeplinks, mas o link pode ser aberto por meio do app Contatos.

Contornando a fixação de tela

  • No Android 11 ou superior, é possível usar o recurso de fixação de tela para restringir o uso a apenas um app específico.
  • Quando a tela está fixada, não é possível abrir novos apps, então o mesmo link anterior não pode ser usado; em vez disso, pode-se usar um deeplink do Google Podcasts que abre em uma janela pop-up.

Resposta do Google

  • O problema de contorno dos controles parentais e o contorno da fixação de tela do Android foram reportados ao Google.
  • O Google tratou o problema dos controles parentais junto com o da fixação de tela e "esqueceu" os casos duplicados.
  • O Google respondeu que o contorno da fixação de tela é um comportamento intencional.

Opinião do GN⁺:

  • Este artigo é importante por aumentar a conscientização sobre vulnerabilidades de segurança ao mostrar como contornar os controles parentais e a fixação de tela por meio de um navegador oculto dentro dos Serviços do Google Play.
  • Com essas informações, os usuários podem entender melhor os recursos de proteção infantil e privacidade e, se necessário, reforçar suas medidas de segurança.
  • A resposta do Google reflete sua abordagem e prioridades em relação a essas vulnerabilidades e oferece um retorno importante para usuários e pesquisadores de segurança.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-02-03
Comentários no Hacker News

  • História de um terminal de computador com navegador de site único instalado no saguão de um banco durante a infância

    Quando eu era criança, bancos e instituições parecidas colocavam no saguão terminais de computador com um navegador especial que só permitia ver um único site. Isso foi na época em que os selos "Best Viewed In" estavam na moda. Sempre que eu saía com meus pais para resolver alguma coisa, eu procurava esse computador e clicava no selo "Best Viewed In" para contornar a restrição e ir para sites como netscape.com; de lá, encontrava links para mecanismos de busca e podia navegar livremente pela web.

  • A equipe que lida com relatórios de vulnerabilidades de segurança não deve se esquivar da responsabilidade apontando para times internos

    A equipe que recebe relatórios de vulnerabilidades de segurança não deveria dizer "isso é trabalho de outro time interno, fale com eles". Na prática, quase qualquer funcionário de uma organização, ao receber um relato crível de vulnerabilidade, deveria encaminhá-lo para a pessoa certa. Isso não é algo que deva ser ignorado.

  • Os controles parentais do Google são deficientes

    Os controles parentais do Google precisam melhorar. Há muito tempo existe um pedido para permitir desativar o app da Play Store, mas isso ainda é impossível sem usar adb (e usar adb traz outros problemas). Não parece que isso tenha sido realmente testado por uma criança. Por exemplo, era fácil contornar o limite de tempo do YouTube encontrando na Play Store um app com capturas de tela que incluíam vídeo e, assim, indo para o YouTube. Foi o próprio filho do autor que descobriu e mostrou esse método.

  • Isso lembra os truques de invasão para contornar a tela de login do Windows 98

    Isso me faz lembrar os truques de hack para burlar a tela de login do Windows 98. Eu não esperava que o Google pudesse chegar a um nível de design de sistema tão ruim quanto o do Windows 98.

  • Relembrando a primeira experiência de explorar o interior de sistemas de computador e "hackear"

    Coisas como ter instalado um trojan no computador da família e depois precisar consertar tudo antes de meu pai chegar em casa, ou descobrir como burlar controles parentais como o NetNanny, que meus pais decidiram instalar de repente depois de alguns anos de uso da internet, influenciaram minha decisão de seguir carreira em TI e engenharia. Foi assim que conheci live CDs de Linux e o próprio Linux. Hoje descobri que os hackers de agora ainda passam por esse mesmo tipo de formação.

  • Informações relacionadas sobre um navegador secreto escondido nas configurações do Google

    Há informações sobre um navegador secreto escondido nas configurações do Google. Em junho de 2023 houve uma discussão no Hacker News com 312 comentários.

  • O fato de o Google Play Services poder conceder a si mesmo novas permissões

    Dizem que o Google Play Services pode conceder a si mesmo novas permissões. Isso levanta a dúvida de como isso funciona e se ele tem privilégios de root.

  • No GrapheneOS, os Play Services em sandbox não são afetados

    No GrapheneOS, os Play Services em sandbox não são afetados, e o app de telefone não consegue ver URLs da web nos contatos, enquanto o app de contatos não consegue abrir em modo fixado as duas URLs apresentadas no artigo.

  • Para quem tiver interesse na discussão anterior a 2023

    Foi fornecido um link para quem tiver interesse na discussão anterior, ocorrida em 2023. Essa discussão recebeu 312 comentários.