扫码领资料
获网安教程
近日,研究人员披露了一个名为Dirty Stream的严重安全漏洞,Google Play 商店中提供的多个流行 Android 应用程序受到该漏洞的影响,恶意应用程序可能会利用该漏洞覆盖易受攻击的应用程序主目录中的任意文件。
微软威胁情报团队的 Dimitrios Valsamaras在的一份报告中表示,此漏洞模式的影响包括任意代码执行和令牌盗窃,具体取决于应用程序的实现。成功利用该漏洞可能使攻击者能够完全控制应用程序的行为,并利用被盗的令牌对受害者的在线帐户和其他数据进行未经授权的访问。
发现容易受到该问题影响的两个应用程序如下:
-
小米文件管理器 (com.mi.Android.globalFileexplorer) - 安装量超过 10 亿次
-
WPS Office (cn.wps.moffice_eng) - 超过 5 亿次安装
虽然 Android 通过为每个应用程序分配自己的专用数据和内存空间来实现隔离,但它提供了所谓的内容提供程序,以促进应用程序之间以安全的方式共享数据和文件。但执行过程中疏忽了可能会绕过应用程序主目录中的读/写限制。
Valsamaras表示,这种基于内容提供商的模型提供了明确定义的文件共享机制,使服务应用程序能够通过细粒度控制以安全的方式与其他应用程序共享其文件。然而经常遇到这样的情况:消费应用程序不验证其接收到的文件的内容,最令人担忧的是,它使用服务应用程序提供的文件名将接收到的文件缓存在消费应用程序的内部数据目录中。
当服务应用程序声明FileProvider 类的恶意版本以启用应用程序之间的文件共享时,可能导致使用应用程序覆盖其私有数据空间中的关键文件。
换句话说,该机制利用了消费应用程序盲目信任输入,通过自定义、明确的意图,在用户不知情或同意的情况下发送具有特定文件名的任意有效负载,从而导致代码执行。
因此,这可能允许攻击者覆盖目标应用程序的共享首选项文件,并使其与受其控制的服务器通信以窃取敏感信息。
另一种情况是应用程序从自己的数据目录(而不是“/data/app-lib”)加载本机库的应用程序,在这种情况下,恶意应用程序可以利用恶意代码覆盖本机库,这些代码在库已加载。
值得一提的是,在接到安全漏洞披露通知后,小米和 WPS Office 均已于 2024 年 2 月对该安全问题进行了整改。不过,微软表示该问题可能会更加普遍,建议开发者采取措施检查其应用程序是否存在类似问题。
谷歌就此事发布了自己的指南,督促开发人员正确处理服务器应用程序提供的文件名。谷歌表示,当客户端应用程序将接收到的文件写入存储时,它应该忽略服务器应用程序提供的文件名,而使用自己内部生成的唯一标识符作为文件名。如果生成唯一的文件名不切实际,客户端应用程序应该清理提供的文件名。
原文地址:https://thehackernews.com/2024/05/popular-android-apps-like-xiaomi-wps.html
图片来源:https://thehackernews.com/2024/05/popular-android-apps-like-xiaomi-wps.html
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+靶场账号哦
原文始发于微信公众号(掌控安全EDU):微软披露严重安全漏洞,多款APP受影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论