Обложка канала

Mobile AppSec World

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

Mobile AppSec World

4 года назад
Открыть в
И снова шикарный трюк от @@bagipro Продолжая рубрику "советы для bugbounty", теперь про способ обхода ограничений для ContentProvider.openFile(). Вот ссылка на оригинальный пост, но для тех, у кого Твиттер закрыт и нет VPN немного пояснений и описаний. Суть в том, что использую небольшой трюк можно получить приватную информацию через контент провайдер, если вызвать его не напрямую, а прикинуться шлангом, системным сервисом, которому по умолчанию выдаются любые Permissions. Атака возможна, если: 1. Контент-провайдер экспортируется 2. Внутри он проверяет вызывающий UID, имя пакета и/или набор разрешений Таким образом, можно вызвать ContentProvider.openFile() через IActivityManager.openContentUri(). Он проверит права доступа, но затем проксирует вызов из своего контекста, а именно к Binder.getCallingUid() == 1000, и, так как это UID системы, то ей по умолчанию предоставлены все права. Что тут сказать, аплодирую стоя 👍👍 #android #binder #contentProvider #oversecured

Bypassing ContentProvider.openFile() internal security checks in Android [1/3] I've discovered an interesting trick that you may use to access private information using a content provider

Twitter