抖音国际版（TikTok）安卓App安全漏洞分析-极安网

抖音国际版（TikTok）安卓App安全漏洞分析

作者：Admin • 发布： 2020-09-19 14:25 • 栏目：网络安全技术

安全公司Oversecured研究人员在TikTok 安卓app中发现了多个高危安全漏洞。其中包括一个利用用户交互实现任意文件窃取漏洞和3个任意代码执行漏洞。攻击者在受害者安卓设备上安装恶意应用就可以利用这些漏洞。目前所有这些漏洞都已修复，建议用户尽快更新到最新版本。

任意文件窃取漏洞

Oversecured安全研究人员扫描TikTok 安卓app发现:

抖音国际版（TikTok）安卓App安全漏洞分析-极安网

活动 com.ss.android.ugc.aweme.livewallpaper.ui.LiveWallPaperPreviewActivity 会被导出，然后从live_wall_paper 密钥中获取一个 com.ss.android.ugc.aweme.livewallpaper.model.LiveWallPaperBean 类对象，然后写入静态域。然后，app会从该静态域中接收getVideoPath()，在provider com.ss.android.ugc.aweme.livewallpaper.WallPaperDataProvider 中创建一个 ParcelFileDescriptor，并返回给攻击者：

    public ParcelFileDescriptor openFile(Uri uri, String str) throws FileNotFoundException {
        String str2 = "";
        int match = this.f83988g.match(uri);
        if (match == 16) {
            str2 = C30504c.m104774a().f84038a.getVideoPath();
        } //...
        try {
            return ParcelFileDescriptor.open(new File(str2), 268435456);

1 2 3 4 5 下一页 »

原创文章，作者： Admin ，转载请注明出处：https://secvery.com/759.html

抖音国际版（TikTok）安卓App安全漏洞分析

发表评论 取消回复

猜你喜欢

发表评论取消回复