TechFlow 情報、5月21日、BitsLabが発起した「Web3護航計画」のセキュリティチームは、ある有名なMeme取引プラットフォームのAndroidアプリに任意アカウント乗っ取り脆弱性を発見し、その修復を支援した。アプリの監査により、第三者製ブラウザコンポーネントを使用していることが判明したが、このコンポーネントのonCreateメソッドにはIntent Redirection脆弱性が存在し、さらに当該アプリのFileProvider設定が不適切であったため、システムの脆弱性を利用してアプリの任意のサンドボックスファイルを読み取ることが可能だった。攻撃者はこの攻撃チェーンを通じて、当該有名Meme取引プラットフォームAndroidアプリ内のユーザーtokenを含む機密ファイルを読み取り、ユーザーのアカウントを乗っ取り、さらにはユーザー資産を直接危険にさらすことが可能であり、重大なリスクをもたらす。
BitsLabセキュリティチームは、「Web3護航計画」を通じて本脆弱性を収集後、包括的な技術分析を行い、脆弱性の原因と攻撃手法を詳細に解明し、正確な修復対策を提示することで、当該取引プラットフォームが情報漏洩およびユーザー資産損失のリスクを効果的に回避できるよう支援し、同プラットフォームAndroidアプリのプライバシー性と安全性を大幅に向上させた。同時に、すべてのプロジェクト関係者に対し、自らのプロジェクトに属するAndroidアプリにFile Providerの設定不備がないか確認するよう呼びかけている。
今回、有名Meme取引プラットフォームAndroidアプリの高品質な脆弱性を発見し、修復を支援したことは、BitsLabチームおよび「Web3護航計画」がグローバルなブロックチェーン資産の安全に対して卓越した貢献をしていることを改めて示している。




