漏洞起因
设计错误信息泄露
危险等级
低
影响系统
Open Handset Alliance Android 2.3.7
不受影响系统
Open Handset Alliance Android 4.0.1
危害
远程攻击者可以利用漏洞可读取SQLite数据库信息。
攻击所需条件
攻击者必须构建恶意APP,安装在目标用户设备上。
漏洞信息
Open Handset Alliance Android是一款超过30家科技与移动电话公司所组成的团体开发的免费的移动电话平台。
Android SQLite数据库journal文件可被所有应用程序读取:
-所有目录对应用程序数据库目录拥有执行权限,意味着应用程序数据目录可全局访问。
-/data/data/<app package>/databases目录以[rwxrwx–x]权限创建,可导致全局读写。
-数据库目录下创建的journal文件以[-rw-r–r–]权限创建,可被所有app读取。
测试方法
厂商解决方案
Open Handset Alliance Android 4.0.1已经修复此漏洞,建议用户下载使用:
http://www.openhandsetalliance.com/android_overview.html
漏洞提供者
Roee Hay
评论关闭。