当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014586

漏洞标题:Android应用懒人听书自动更新可被利用

相关厂商:懒人听书

漏洞作者: Rkit

提交时间:2012-11-10 10:42

修复时间:2012-12-25 10:42

公开时间:2012-12-25 10:42

漏洞类型:远程代码执行

危害等级:中

自评Rank:8

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-11-10: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-12-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

www.yytingting.com出品的Android有声读物软件“懒人听书”,在自动更新时验证不足,可被利用来替换成其他apk,最终可实现远程代码执行。

详细说明:

www.yytingting.com出品的Android有声读物软件“懒人听书”,在自动更新时没有数字签名,也没有任何认证,如果被arp欺骗,或者DNS劫持等,可被利用来替换成其他apk,最终可能达到远程代码执行的后果。

漏洞证明:

step1. 先把android抓包环境部署好。得知此软件的自动更新检测地址为:
http://www.yytingting.com/android_app/version.txt
step2. 访问此页面

QQ截图20121110100512.jpg


根据返回内容,大体可以确定58为最新版本号,用来和已有版本比较。下面为新版的下载地址。
于是推测,通过DNS劫持等手段伪造返回页面,把APK替换成我们写的木马,即可成功。
step3. 使用qq的安装包来测试

QQ截图20121110102913.jpg


豌豆荚截图20121110102404.png


20121110102615.png


可以看到,更新下载完成后,弹出的是QQ的安装包。利用成功。

修复方案:

1. 软件更新最好使用签名
2. 更新过程最好加密

版权声明:转载请注明来源 Rkit@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝