漏洞关键信息总结 漏洞概述 Voice Recorder APP 任意文件覆盖与读取漏洞 该应用存在两个严重漏洞: 任意文件覆盖漏洞:攻击者可通过文件导入过程中的路径遍历,覆盖应用内部关键文件 任意文件读取漏洞:攻击者可读取应用内部敏感文件,包括认证状态和会话相关数据 漏洞组件: 根因:处理导入文件时缺乏充分的安全验证,恶意应用可控制文件名和内容,利用路径遍历读写应用内部存储的敏感文件。 攻击场景:无需复杂用户交互,受害者打开恶意应用后自动触发。可导致代码执行、敏感信息泄露、拒绝服务、账户劫持、配置篡改等。 --- 影响范围 --- 修复方案 页面中未提供具体修复方案。 --- POC/利用代码 1. 共享存储中的敏感文件列表 2. 导出的敏感文件内容示例( ) > 注:该文件包含Google登录令牌,攻击者可利用此进行账户劫持。