BitsLab "Web3 サポートプラン" セキュリティチームは、Androidアプリの任意アカウント乗っ取り脆弱性を発見し、修正を支援しました。

5月21日、BitsLabが開始した「Web3エスコートプログラム」のセキュリティチームは、有名なミーム取引プラットフォームのAndroidアプリに任意のアカウント乗っ取りの脆弱性を発見し、修正を完了するのを支援しました。 APPの監査を通じて、onCreateメソッドにインテントリダイレクトの脆弱性があるサードパーティのブラウザコンポーネントを使用していることが判明し、APP FileProviderの不適切な構成により、システムの脆弱性を使用してAPPのサンドボックスファイルを読み取ることができることがわかりました。 攻撃者は、この攻撃チェーンを使用して、有名なミーム取引プラットフォームのAndroidアプリでユーザートークンを含む機密ファイルを読み取って、ユーザーのアカウントを乗っ取り、さらにそれを悪用してユーザーの資産に直接害を及ぼすことができます。

脆弱性が「Web3エスコートプラン」に含まれた後、BitsLabセキュリティチームは、包括的なテクニカル分析を通じて脆弱性の原因と攻撃方法を詳細に分析し、正確な修復方法を提案しました。これにより、取引プラットフォームは情報漏洩やユーザー資産の損失のリスクを効果的に回避し、取引プラットフォームのAndroidアプリのプライバシーとセキュリティが大幅に向上しました。 同時に、プロジェクトが属するAndroidアプリにファイルプロバイダーの不適切な構成があるかどうかを、すべてのプロジェクト関係者が確認することもお勧めします。

今回、著名なMeme取引プラットフォームのAndroidアプリの高品質な脆弱性を発見し修正を支援したことは、BitsLabチームと「Web3護航計画」が世界のブロックチェーン資産の安全性に対する卓越した貢献をさらに示しています。