数据库文件任意读写 -openOrCreateDatabase方法 一、API 1. openOrCreateDatabase(String dbName , int mode , CursorFactory factory) 示例: openOrCreateDatabase(“test.db” , Context.MODE_PRIVATE , null) 2. 第一参数:数据库的名称 3. 第二参数:指定数据库文件的操作模式 【1】Context.MODE_PRIVATE = 0 (0x0000) 默认操作模式,代表该文件是私有数据,只能被应用本身访问,同时写入的内容会覆盖原文件的内容 【2】Context.MODE_ENABLE_WRITE_AHEAD_LOGGING = 8 (0x0008) 表示读写操作能否同时进行的一个标志属性 【3】Context.MODE_WORLD_READABLE = 1 (0x0001) 表示当前文件可以被其他应用读取 【4】Context.MODE_WORLD_WRITEABLE = 2 (0x0002) 表示当前文件可以被其他应用写入 【5】Context.MODE_WORLD_READABLE + Context.MODE_WORLD_WRITEABLE = 3 (0x0003) 表示文件可被其他应用读和写 4. 第三参数:附加的一个工厂类,当SQLiteDatabase实例的query函数被调用时,会使用该工厂类返回一个Cursor。可为null 5. 参考链接: http://blog.csdn.net/olanmomo/article/details/39829669 二、触发条件 1. openOrCreateDatabase("test.db" , Context.MODE_WORLD_READABLE , null) 2. openOrCreateDatabase("test.db" , Context.MODE_WORLD_WRITEABLE , null) 3. openOrCreateDatabase("test.db" , Context.MODE_WORLD_READABLE + Context.MODE_WORLD_WRITEABLE , null) 4. 对应到smali中的特征 【1】;->openOrCreateDatabase (Ljava/lang/String;ILandroid/database/sqlite/SQLiteDatabase$CursorFactory;) Landroid/database/sqlite/SQLiteDatabase; 【2】判断对寄存器的赋值:const v1 0x1 / const v1 0x2 / const v1 0x3 三、漏洞原理 【1】数据库(Database)文件没有使用正确的创建模式,导致可被其他应用访问,并执行读写操作,可能会导致敏感信息的泄漏 【2】详细的原理&POC ,参考链接: https://jaq.alibaba.com/community/art/show?spm=a313e.7916646.24000001.15.FuoGgI&articleid=59 四、修复建议 【1】避免使用MODE_WORLD_READABLE和MODE_WORLD_WRITEABLE模式创建数据库(Database)