神刀安全网

酷派S6流量监控绕过(偷跑流量不是事儿)

简要描述:

酷派S6流量监控绕过,偷跑流量不是事儿
酷派手机酷管家实现了上网监控、上网控制等功能,但是这些功能提供的数据是否准确,管理是否有效了?

详细说明:

漏洞成因:编译api<17,而且不将content provider申明为exported="false",导致任意任意不需权限操作此sqlite

code 区域
static
{
d.addURI("com.yulong.android.seccenter.flowmonitor.provider", "table_flow_sum", 1);
d.addURI("com.yulong.android.seccenter.flowmonitor.provider", "table_flow_dtl", 2);
d.addURI("com.yulong.android.seccenter.flowmonitor.provider", "table_flow_setting", 3);
d.addURI("com.yulong.android.seccenter.flowmonitor.provider", "table_flow_app", 4);//app流量统计,可以无交互篡改,不让用户发现
d.addURI("com.yulong.android.seccenter.flowmonitor.provider", "tbale_online_permission", 5);//app上网权限管理,自己可以偷偷打开
d.addURI("com.yulong.android.seccenter.flowmonitor.provider", "table_config", 6);
d.addURI("com.yulong.android.seccenter.flowmonitor.provider", "table_static_flow", 7);
}

酷派S6流量监控绕过(偷跑流量不是事儿)

漏洞证明:

使用测试代码前

酷派S6流量监控绕过(偷跑流量不是事儿)

使用测试代码后

酷派S6流量监控绕过(偷跑流量不是事儿)

修复方案:

版权声明:神刀安全网转自 问题来了@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 酷派S6流量监控绕过(偷跑流量不是事儿)

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮