V aplikaci Google Admin, která slouží ke správě Google Apps, je bezpečnostní díra, která útočníkům umožní dostat se k citlivým datům uživatelských účtů Google. A to vše v případě, kdy správce přistupuje ke Google Admin z mobilního zařízení s Androidem.
Aplikace Google jsou navrženy tak, aby běžela každá z nich v tzv. Sandboxu, tedy v oddělených částech paměti počítače, takže se aplikace vzájemně nemohou dostat k citlivým datům. Komunikovat spolu mohou pouze pomocí aplikačního rozhraní, pokud s tím obě aplikace "souhlasí". Bezpečnostní specialisté teď objevili v aplikaci Google Admin bezpečnostní díru, která tyto principy může obejít.
Bezpečnostní díra se nachází v procesu, kterým Google Admin zpracovává adresy z jiných aplikací pomocí komponenty WebView. Pokud aplikace pošle do Google Admin URL adresu odkazující na jí kontrolovaný HTML soubor, nahraje Google Admin kód obsažený v souboru do WebView. Bohužel ale kyberlump do tohoto kódu může vložit iframe, který způsobí nové načtení souboru, ovšem soubor může pocházet z jiného zdroje a obsahovat další škodlivý kód.
Google se k problému doposud nijak nevyjádřil a ani chybu neopravil.