BitsLab“Web3 护航计划”安全团队发现并已协助 Meme 交易平台 Android App 修复任意账号接管漏洞

深潮 TechFlow 消息，5 月 21 日，由 BitsLab 发起的 'Web3 护航计划' 中的安全团队发现某知名 Meme 交易平台 Android App 中存在任意账户接管漏洞，并协助其完成修复。通过对 APP 的审计发现其使⽤了第三⽅浏览器组件，该组件的 onCreate ⽅法中存在 Intent Redirection 漏洞，同时由于该 APP FileProvider 配置不当，由此可借助系统漏洞读取 APP 任意沙箱文件。攻击者可通过此攻击链读取该知名 Meme 交易平台 Android App 含用户 token 的敏感文件，从而接管用户账号，进一步利用可直接危害用户资产，危害十分严重。

BitsLab 安全团队在通过 “Web3 护航计划” 收录到该漏洞以后，通过全面的技术分析，详细剖析了漏洞成因和攻击方式，提出了精准的修复措施，帮助该交易平台有效避免了信息泄露和用户资产损失风险，大幅提升该交易平台 Android App 的隐私性和安全性。同时，也建议所有项目方清查一下项目所属的 Android App 是否存在 File Provider 配置不当问题。

此次发现并协助修复该知名 Meme 交易平台 Android App 的高质量漏洞，进一步彰显了 BitsLab 团队及 'Web3 护航计划' 对全球区块链资产安全的卓越贡献。