TechFlow tin tức, ngày 21 tháng 5, đội an ninh trong khuôn khổ chương trình "Hộ tống Web3" do BitsLab phát động đã phát hiện lỗ hổng chiếm quyền tài khoản tùy ý trong ứng dụng Android của một sàn giao dịch Meme nổi tiếng, và hỗ trợ sửa chữa xong vấn đề này. Qua việc kiểm toán ứng dụng, nhóm phát hiện ứng dụng đã sử dụng thành phần trình duyệt bên thứ ba, trong phương thức onCreate của thành phần này tồn tại lỗ hổng Intent Redirection; đồng thời do cấu hình FileProvider của ứng dụng không đúng, kẻ tấn công có thể lợi dụng lỗ hổng hệ thống để đọc các tập tin trong sandbox của ứng dụng. Bằng chuỗi tấn công này, tin tặc có thể đọc các tập tin nhạy cảm chứa token người dùng trong ứng dụng Android của sàn giao dịch Meme nổi tiếng nói trên, từ đó chiếm quyền tài khoản người dùng, tiếp tục khai thác có thể trực tiếp gây hại đến tài sản người dùng, mức độ nghiêm trọng rất cao.
Sau khi ghi nhận lỗ hổng này thông qua chương trình "Hộ tống Web3", đội an ninh BitsLab đã tiến hành phân tích kỹ thuật toàn diện, làm rõ nguyên nhân và phương thức tấn công, đồng thời đưa ra các biện pháp khắc phục chính xác, giúp sàn giao dịch này hiệu quả tránh được rủi ro rò rỉ thông tin và mất mát tài sản người dùng, nâng cao đáng kể tính riêng tư và bảo mật cho ứng dụng Android của sàn giao dịch. Nhóm cũng khuyến nghị tất cả các bên vận hành dự án nên rà soát lại ứng dụng Android thuộc sở hữu của mình xem có tồn tại vấn đề cấu hình File Provider không đúng hay không.
Việc phát hiện và hỗ trợ sửa chữa lỗ hổng chất lượng cao trong ứng dụng Android của sàn giao dịch Meme nổi tiếng lần này tiếp tục khẳng định đóng góp xuất sắc của đội ngũ BitsLab và chương trình 'Hộ tống Web3' đối với an ninh tài sản blockchain toàn cầu.




