Adăugată pentru confortul utilizatorilor, funcţia ce permite aplicaţiilor Android să acceseze serviciile Google fără a cere introducerea manuală a datelor de autentificare prezintă risc crescut de securitate, putând fi deturnată cu uşurinţă pentru accesarea neautorizată a numeroase servicii asociate contului Google: Drive, Gmail, Calendar, Voice, Apps şi altele.
Demonstrată de Craig Young, specialist al companiei de securitate Tripwire, vulnerabilitatea poate fi exploatată folosind aplicaţii Android modificate, capabile să transmită unor persoane străine cheia necesară pentru accesarea contului Google fără ca victima să bănuiască ceva, sau programul antivirus instalat pe dispozitiv să dea alarma.
În cazul de faţă, Young a demonstrat o aplicaţie al cărui scop declarat este vizualizarea cotaţiilor Google Finance. La momentul instalării, aplicaţia descărcată chiar din magazinul Google Play cere permisiuni pentru acces la internet şi folosirea contului de utilizator Google asociat pe dispozitiv. La prima pornire, aplicaţia cere permisiunea pentru accesarea unei adrese URL cu prefixul weblogin şi menţionează numele finance.google.com. Odată confirmat prin acceptul utilizatorului, acest al doilea mesaj permite generarea unei chei de acces folosită pentru autentificarea automată cu website-ul Google Finance. Simultan, aplicaţia deschide o conexiune securizată către un server controlat de atacator, trimiţând cheia de autentificare nou generată.
Mai departe, atacatorul poate folosi cheia digitală obţinută pentru a accesa oricare din serviciile Google asociate contului respectiv, totul fără avea nevoie să cunoască parola folosită de utilizator. Spre exemplu, cu token-ul weblogin poate fi obţinut acces la documentele păstrate în contul Google Drive, colecţia de mesaje din contul Gmail, pot fi citite evenimentele salvate în Calendar şi istoricul căutărilor Google Search. Lista potenţialelor riscuri continuă cu datele sensibile depozitate de aplicaţii Google, folosirea contului Google Play pentru instalarea de la distanţă a aplicaţiilor pe dispozitivele victimei şi accesarea oricăror website-uri care folosesc sistemul de autentificare Google.
Suplimentar, dacă din întâmplare contul compromis deţine drepturi de administrator asupra domeniului Google Apps folosit de o companie, atacatorul ar putea compromite întreaga platformă de aplicaţii, resetând parolele utilizatorilor, alterând privilegii şi listele email, mergând până la crearea unor noi conturi de utilizator cu drepturi administrative.
Cât despre aplicaţia clandestină strecurată în magazinul Google Play, aceasta a rezistat timp de aproape o lună fără a intra în vizorul sistemului Bouncer, folosit pentru detectarea automată a aplicaţiilor periculoase, fiind înlăturată doar după ce a fost raportată manual de mai mulţi utilizatori.
Aparent, vulnerabilitatea este cunoscută oficialilor Google încă din luna februarie, iar între timp compania a luat unele măsuri pentru limitarea daunelor ce pot fi provocate cu un asemenea atac. Până în acest moment, Google nu a luată încă o poziţie oficială privind vulnerabilitatea semnalată.