PDF Reader - Reader & Editor APP 任意文件读取漏洞 (#18) 漏洞概述 漏洞描述:PDF Reader应用在文件导入过程中存在安全验证不足,恶意应用可通过构造特定文件路径并利用目录遍历,访问应用内部存储中的敏感数据,导致敏感信息泄露。攻击无需复杂用户交互,受害者打开恶意应用即可自动触发。 --- 影响范围 应用包名: 危害: - 窃取凭证文件可能导致账户劫持 - 访问关键密钥或配置文件可能导致进一步安全影响 - 提取的数据可被写入共享外部存储,被设备上其他应用读取 --- 修复方案 页面未提供官方修复方案。建议: 1. 对文件导入路径进行严格验证和过滤 2. 禁止目录遍历字符(如 ) 3. 限制应用内部存储文件的访问权限 4. 及时更新至厂商修复后的版本 --- 利用代码 (Exploit Results) 代码块 1:读取内部存储文件 说明: 将文件内容写入共享外部存储,可被其他应用读取,导致敏感信息泄露。 --- 代码块 2:读取特定凭证文件 说明: 读取某些凭证文件可能导致账户劫持,访问关键密钥或配置文件可能导致进一步安全影响。