5月21日,由BitsLab发起的'Web3护航计划'中的安全团队发现某知名Meme交易平台AndroidApp中存在任意账户接管漏洞,并协助其完成修复。通过对APP的审计发现其使⽤了第三⽅浏览器组件,该组件的onCreate⽅法中存在IntentRedirec
5 月 21 日,由 BitsLab 发起的 'Web3 护航计划' 中的安全团队发现某知名 Meme 交易平台 Android App 中存在任意账户接管漏洞,并协助其完成修复。通过对 APP 的审计发现其使⽤了第三⽅浏览器组件,该组件的 onCreate ⽅法中存在 Intent Redirection 漏洞,同时由于该 APP FileProvider 配置不当,由此可借助系统漏洞读取 APP 任意沙箱文件。攻击者可通过此攻击链读取该知名 Meme 交易平台 Android App 含用户 token 的敏感文件,从而接管用户账号,进一步利用可直接危害用户资产,危害十分严重。
BitsLab 安全团队在通过 “Web3 护航计划” 收录到该漏洞以后,通过全面的技术分析,详细剖析了漏洞成因和攻击方式,提出了精准的修复措施,帮助该交易平台有效避免了信息泄露和用户资产损失风险,大幅提升该交易平台 Android App 的隐私性和安全性。同时,也建议所有项目方清查一下项目所属的 Android App 是否存在 File Provider 配置不当问题。
此次发现并协助修复该知名 Meme 交易平台 Android App 的高质量漏洞,进一步彰显了 BitsLab 团队及 'Web3 护航计划' 对全球区块链资产安全的卓越贡献。
