Android版Dropbox内容提供程序安全绕过漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Dropbox for Android 1.x
 
不受影响系统
 
危害
远程攻击者可以利用漏洞访问目标用户Dropbox内容。
 
攻击所需条件
攻击者必须在目标设备上装上恶意应用程序。
 
漏洞信息
Dropbox for Android是一款用于安卓系统上的在线文件存储/同步服务。
Android应用程序可通过程序功能导出来与其他应用程序相互通信,如IPC endpoint。这可在AndroidManifest.xml文件中定义。Android应用程序的任意功能可到处,也就意味着其他应用程序可以访问这些功能并跨沙盒与这些应用程序交互。
恶意程序可借助Dropbox应用程序导出的内容提供程序,无需与用户交互,上传设备中的文件到相关联的Dropbox账户,也可使用相同方法上传Dropbox设置和内容数据库。
 
测试方法
 
厂商解决方案
Dropbox for Android 1.2已经修复此漏洞,建议用户下载使用:
https://www.dropbox.com/android
 
漏洞提供者
Tyrone Erasmus, MWR InfoSecurity

发表评论?

0 条评论。

发表评论