content:// protocol
Dies ist eine Zusammenfassung des Beitrags https://census-labs.com/news/2021/04/14/whatsapp-mitd-remote-exploitation-CVE-2021-24027/
Auflisten von Dateien im Media Store
Um Dateien aufzulisten, die vom Media Store verwaltet werden, kann der folgende Befehl verwendet werden:
Für eine benutzerfreundlichere Ausgabe, die nur den Bezeichner und den Pfad jeder indexierten Datei anzeigt:
Content-Provider sind in ihrem eigenen privaten Namensraum isoliert. Der Zugriff auf einen Provider erfordert die spezifische content://
URI. Informationen über die Pfade zum Zugriff auf einen Provider können aus den Anwendungsmanifesten oder dem Quellcode des Android-Frameworks abgerufen werden.
Zugriff von Chrome auf Content-Provider
Chrome auf Android kann über das content://
-Schema auf Content-Provider zugreifen und somit Ressourcen wie Fotos oder von Drittanbieteranwendungen exportierte Dokumente abrufen. Zur Veranschaulichung kann eine Datei in den Media Store eingefügt und dann über Chrome abgerufen werden:
Fügen Sie einen benutzerdefinierten Eintrag in den Media Store ein:
Ermitteln Sie die Kennung der neu eingefügten Datei:
Die Datei kann dann in Chrome mithilfe einer URL, die mit dem Datei-Identifier erstellt wurde, angezeigt werden.
Zum Beispiel, um Dateien im Zusammenhang mit einer bestimmten Anwendung aufzulisten:
Chrome CVE-2020-6516: Same-Origin-Policy Bypass
Die Same Origin Policy (SOP) ist ein Sicherheitsprotokoll in Browsern, das Webseiten daran hindert, mit Ressourcen aus verschiedenen Ursprüngen zu interagieren, es sei denn, dies wird explizit durch eine Cross-Origin-Resource-Sharing (CORS) Richtlinie erlaubt. Diese Richtlinie zielt darauf ab, Informationslecks und Cross-Site Request Forgery zu verhindern. Chrome betrachtet content://
als lokemes Schema, was strengere SOP-Regeln impliziert, wobei jede URL mit lokalem Schema als separater Ursprung behandelt wird.
Jedoch war CVE-2020-6516 eine Sicherheitslücke in Chrome, die es ermöglichte, die SOP-Regeln für Ressourcen, die über eine content://
-URL geladen wurden, zu umgehen. Effektiv konnte JavaScript-Code von einer content://
-URL auf andere Ressourcen zugreifen, die über content://
-URLs geladen wurden, was ein erhebliches Sicherheitsrisiko darstellte, insbesondere auf Android-Geräten mit Versionen vor Android 10, wo das begrenzte Speichermodell nicht implementiert war.
Der untenstehende Proof-of-Concept demonstriert diese Sicherheitslücke, bei der ein HTML-Dokument, nachdem es unter /sdcard hochgeladen und der Medienspeicher hinzugefügt wurde, XMLHttpRequest
in seinem JavaScript verwendet, um auf die Inhalte einer anderen Datei im Medienspeicher zuzugreifen und sie anzuzeigen, wodurch die SOP-Regeln umgangen werden.
Proof-of-Concept HTML:
Last updated