BitsLab “Web3 護航計劃”安全團隊發現並協助 Android App 修復了一個任意帳號接管漏洞

深潮 TechFlow 消息，5 月 21 日，由 BitsLab 發起的 'Web3 護航計劃' 中的安全團隊發現某知名 Meme 交易平台 Android App 中存在任意帳戶接管漏洞，並協助其完成修復。通過對 APP 的審計發現其使⽤了第三⽅瀏覽器組件，該組件的 onCreate ⽅法中存在 Intent Redirection 漏洞，同時由於該 APP FileProvider 配置不當，由此可借助系統漏洞讀取 APP 任意沙箱文件。攻擊者可通過此攻擊鏈讀取該知名 Meme 交易平台 Android App 含用戶 token 的敏感文件，從而接管用戶帳號，進一步利用可直接危害用戶資產，危害十分嚴重。

BitsLab 安全團隊在通過 “Web3 護航計劃” 收錄到該漏洞以後，通過全面的技術分析，詳細剖析了漏洞成因和攻擊方式，提出了精準的修復措施，幫助該交易平台有效避免了信息泄露和用戶資產損失風險，大幅提升該交易平台 Android App 的隱私性和安全性。同時，也建議所有項目方清查一下項目所屬的 Android App 是否存在 File Provider 配置不當問題。

此次發現並協助修復該知名 Meme 交易平台 Android App 的高質量漏洞，進一步彰顯了 BitsLab 團隊及 'Web3 護航計劃' 對全球區塊鏈資產安全的卓越貢獻。