Google ayarlarının içine gizlenmiş gizli tarayıcı
(matan-h.com)- Android’in Manage my account açılır penceresinde normal web sitelerine gidilebilen bir ekran açılıyor; bu ekrana Settings ve Google uygulama paketi içinden de erişilebiliyor
- Giriş yolu sırasıyla Google hesap yönetimindeki Security sekmesi, Password Manager, cihaz üzerinde şifreleme yardım sayfası, gizlilik politikası ve Search menüsünden geçiyor
- Bu ekran YouTube oynatmaya kadar izin veriyor; ancak ziyaret geçmişi ve adres çubuğu yok, geri tuşu da web geçmişi yerine ayarlar ekranına dönüyor
- JavaScript konsolunda
mmnesnesi ilecloseView(),requestSecurityKeyHandshake()veupdateSecurityKey()işlevleri görünüyor; bazı işlevlerin gerçek amacı doğrulanmış değil - Google başlangıçta bunun bir güvenlik açığı olmadığını ve ebeveyn denetimlerini aşmanın da amaçlanan davranış olduğunu söyledi; ancak yayın ve basın haberlerinden 3 gün sonra bildirimi yeniden inceleyeceğini bildirdi
Android ayarlarının içinde açılan gizli tarayıcı
- Android’deki çeşitli uygulamalarda Manage my account açılır penceresi bulunuyor; Settings ve Google uygulama paketi gibi başlıca uygulamalardan da erişilebiliyor
- Birkaç adımın ardından açılır pencerenin içi, normal web sitelerine gidilebilen bir tarayıcı gibi çalışıyor
- Settings → Google veya hesap seçilebilen bir uygulamada “Manage my account” seçilir
- “Security” sekmesinde “Password Manager” seçilir
- Sağ üstteki
Settingssimgesi seçilir - “Set up on-device encryption” → “Learn more about on-device encryption” seçilir
- Hamburger menüden “Privacy Policy” sayfasına gidilir
- Üstteki 9 noktalı menüye basıp yaklaşık 5 saniye bekledikten sonra “Search” seçilir veya
Googleöğesine gidilir - Google hesabından çıkış yapılırsa, istenen yere gidilebilen bir tarayıcı gibi kullanılabilir
- Bu durumda YouTube videoları oynatmak da mümkün; ekran Settings uygulamasının veya ilk giriş yapılan uygulamanın içinde açılıyor
-
Normal tarayıcılardan farkları
- Ziyaret geçmişi tutulmuyor
- Oturum kapatıldığında giriş yapılmış Google hesabından otomatik olarak çıkış yapılıyor
- Adres çubuğu yok
- Geri tuşuna basıldığında önceki web sayfası yerine Password Manager ayarları tarafına dönülüyor
mm JavaScript nesnesi ve Google’ın yanıtı
- eruda gibi mobil JavaScript konsollarında
mmadlı bir JavaScript nesnesi görülebiliyor mmnesnesinde üç işlev varcloseView(): Tarayıcıyı kapatıyor; geri tuşuna basıldığındakine benzer şekilde çalışıyorrequestSecurityKeyHandshake(): İşlevi doğrulanmış değil, ancak adı itibarıyla hassas görünüyorupdateSecurityKey(): İşlevi doğrulanmış değil, ancak adı itibarıyla hassas görünüyor
- Bu tarayıcı on-device encryption özelliğinin yolu üzerinden açıldığı için, doğrulanmamış iki işlevin yerel şifreleme anahtarı ayarıyla ilişkili olabileceği yalnızca bir varsayım olarak kalıyor
- Google, ilk bildirime bunun bir güvenlik açığı olmadığını ve ebeveyn denetimlerini aşmanın “Intended Behavior” olduğunu söyleyerek yanıt verdi
- Yazı yayınlandıktan sonra İngilizce ve Rusça dahil olmak üzere çeşitli mecralarda ele alındı; yayından 3 gün sonra Google, ilgili bildirimi yeniden inceleyeceğini bildirdi
- İlgili tartışma olarak Hacker News discussion bulunuyor
2 yorum
Şifre yöneticisine girince sanki bir tık yavaşmış gibi bir his oluyordu... Demek ki sadece benim kuruntum değilmiş galiba.
Hacker News yorumları
Biraz araştırdım; "Manage my account"a tıklayınca Ayarlar uygulamasında kalmıyor, onun yerine Google Play Services içine gömülü bir Activity'ye gidiyor
Sonuçta tarayıcı
com.google.android.gms/.auth.folsom.ui.GenericActivityçıktı ve telefonumdaki varsayılan sistem WebView uygulaması olan Chrome'u kullanıyor gibi görünmüyorduAndroid,
addJavascriptInterfaceile Android kodu ve JavaScript kodu arasında bir arayüz oluşturabiliyor; GMS'nin bunu epey kullandığı anlaşılıyor, o yüzden ileride bakmaya değer bir saldırı yüzeyi gibi duruyorŞüpheli
mmarayüzüMagicArchChallengeViewiçinde ve obfuscate edilmişbwuzsınıfına bağlı.bwuzkendi başına neredeyse boş ama sonra birkaç başka obfuscate edilmiş sınıfa daha bağlanıyorString araması yapınca
"qvc"ve"pdn"adlı iki sınıfın ilgili fonksiyonları açığa çıkardığı görülüyor; esas kritik olanpdngibi duruyor,qvciçinde de her parametrenin ne olduğuna dair faydalı hata logları varsetVaultSharedKeys,gaiaId,epochvekeydeğerlerini içeren JSON nesneleri dizisi bekliyor; bunu bir listeye çevirip hesap güvenliğiyle yakından ilgili görünen soyut bir sınıfa veriyoraddEncryptionRecoveryMethod,gaiaId, güvenlik alanları listesi ve üye açık anahtarı bekliyor; bunu da aynı soyut sınıfa veriyorBurada işe gitmem gerektiği için bıraktım ama yalnızca bu arayüz değil, GMS'nin WebView'a açtığı diğer arayüzleri de daha derin incelemeye değer gibi görünüyor
https://developer.android.com/reference/android/webkit/WebVi...
Blink olsa bile, Chrome'un sunduğu kadar güncel olmama ihtimali yüksek görünüyor. Belgelere verilen bağlantıya bakınca gerçekten WebKit gibi duruyor
https://2021.stateofthebrowser.com/speakers/alex-russell/
gaiaId'nin Google Accounts and ID Administration ID olması komik; aslında bu Google genelindeki benzersiz kimlik ve buna bu adı veren kişi muhtemelen epey gurur duymuştur, haklı da sayılırBunun diğer gömülü WebView'lardan farkının ne olduğunu anlamadım. Neredeyse bütün uygulamalar "gizlilik politikasını görüntüle" gibi yerlerde gömülü WebView kullanmıyor mu?
Gizlilik politikasının tamamını uygulama geliştiricisine teslim etmektense HTML göstermek çoğu zaman çok daha kolay oluyor
Hatırladığım kadarıyla birden çok alan adını veya URL'yi izinli kılacak bir WebView ayarlamak da epey zordu. Android geliştiricisi değilim, en son uğraşmamın üzerinden de birkaç yıl geçti gerçi
Anahtar yönetimi kısmı hâlâ büyük ölçüde tahmin; yazan kişi bunun gerçekte ne yaptığını test etmiş değil, yani durum daha çok “ne olduğunu bilmiyorum ama korkutucu görünen iki metot var” seviyesinde
Tarayıcı engelliyken CHM yardım dosyaları üzerinden internete girmeye biraz benziyor
Kahretsin, yaşımı ele verdim
Çocukken Windows'taki ebeveyn denetimi uygulamasını aşma yöntemimle birebir aynı
Bilgisayar kullanımına sadece 1 saat izin vardı ve süre dolunca, üretkenlik için gerekli sayıldığı gerekçesiyle Microsoft Office uygulamaları hariç tüm uygulamalar kapatılıyordu
Kurcalaya kurcalaya Outlook içinden bir şekilde tarayıcı açmayı başarıp Miniclip'te Flash oyunları oynayabiliyordum
Varsayılan web tarayıcısını Terminal yaptım, sonra Word'ü açıp bir bağlantı oluşturdum ve ona tıkladım. Normalde açılan Terminal, başka uygulamaları çalıştırmada başarısız olacak şekilde kısıtlıydı ama bu yöntemle açılan Terminal örneği daha fazla yetkiye sahipti; böylece
open /path/to/your/appile taktığın diskteki oyunları falan çalıştırabiliyordunEtüt öğretmeni gelip Starcraft oynayıp oynayamayacağımızı sorduğunda “Hocam, sizin de bildiğiniz gibi bu bilgisayarlar epey kilitli, bu oyunu oynayabiliyorsak demek ki okul izin vermiştir” demiştim; hâlâ bunun işe yaramış olmasına inanamıyorum
Çocuk bu hack'i bulup engellenmiş sitelere girebiliyorsa, bence bunu biraz hak etmiştir
Benzer bir kaçış yolu
aboutiçindeki lisans sayfasında da vardıLisanslara giden bağlantıları takip edince tarayıcı ortaya çıkıyor. Araba içi bilgi-eğlence ünitelerinde ya da Peloton bisikletlerde tarayıcı açmak için kullanışlı oluyor
Dosya sistemindeki tüm dosyaların listesi gibi görünüyor
Google'a bug bildiren bu kişinin deneyimi bana kendi deneyimimi hatırlattı
Ben: Google Sheets'te silinmiş içeriğin üçüncü taraflara gösterilmesine yol açan bir bug var
Google: Bug değil. Amaçlandığı gibi çalışıyor. Kayıt kapatıldı
Ben: Gerçekten mi? Bu uygulamayı kullanırken gerçekten zarar gördüm
Google: Aslında bug, ama uzun zamandır bilinen bir sorun olduğu için bug bounty kapsamına girmiyor. Kayıt kapatıldı
Ben: Gmail'de sahte e-postaların DKIM başarısızlığını gizleyip normalmiş gibi görünmesini sağlayan bir bug var
Google: "Won't fix (Intended Behavior)"
Ben: Google gerçekten arayüzde sahte e-postaların normalmiş gibi görünmesini mi amaçlıyor?
Google: Aslında bu bilinen bir sorun
Üstelik ilk çıkan haberler bu açığı Çin/Rusya kaynaklı hack'lerle ilişkilendirmeye çalışıyordu. O propagandayı Google'ın kendisine geri çevirmek gerekir. Google bir Amerikan şirketi ve yabancı ya da yerli fark etmeksizin herkesin istismar edebilmesi için arka kapıyı ardına kadar açık bırakmıştı. Nitekim iki taraf da bunu istismar etti
Google'da gerçekten bir sorun var. 2019'dan sonra ne oldu bilmiyorum ama durum iyi değil
Ben: Google Play Services'ta bir bug var
Google: Bug değil. Amaçlandığı gibi çalışıyor. Kayıt kapatıldı
Ben: Bug'ı blogda yazdım ve basında geniş yer buldu
Google: Galiba biz yanılmışız! Bu gerçekten bir bug. Birkaç hafta içinde size tekrar döneceğiz
Bugün mobil JavaScript konsolu diye bir şey olduğunu öğrendim
https://eruda.liriliri.io/
Başka bir bilgisayardan geliştirici araçlarını açabiliyorsunuz ve tüm bilgiler WebSocket üzerinden senkronize ediliyor. Müşteri cihazındaki sorunları debug ederken bir kez kullanmıştım
data:text/html,kullanma zahmetine giriyorum ama bu şaşırtıcı derecede özellik doluAnnemle babam bankacılık işlemlerini hallederken lobide ben de aynı şekilde yapardım
O zamanlar best viewed in Netscape Navigator etiketi adeta altın madeni gibiydi. Akış da neredeyse aynıydı; böyle bir etiket çıkana kadar tıklayıp sonra oradan arama motoruna geçerdim
Sonra reklam yazılımı dolu şüpheli bir streaming sitesine girdim, başka bir videoya geçtiğim anda Tesla'nın tüm bilgisayarı kilitlendi ve aracı hard reboot yapmak zorunda kaldım
Bana eski Windows sürümlerini hatırlattı. F1'e basınca Windows Help üzerinden çeşitli çalıştırma komutları tetiklenebiliyordu
explorer.exeüzerine sağ tıkla ve Run'ı seç” yöntemi gibi bir şey