Xamarin应用程序沙箱中的全局可读写__override__目录

时间:2015-12-26 01:46:12

标签: android xamarin file-permissions sandbox

任何人都可以了解Xamarin在应用程序沙箱中创建的__override__文件夹的指定吗?事实证明它是世界可读的可写的,导致安全检查的问题。我已经在库存设备上测试了它的生产应用程序,并得到了以下内容:

shell@m0:/data/data/com.myapp/files/.__override__ $ mkdir testdir
shell@m0:/data/data/com.myapp/files/.__override__ $ echo "content" >> testfile
shell@m0:/data/data/com.myapp/files/.__override__ $ ls
testdir
testfile
shell@m0:/data/data/com.myapp/files/.__override__ $

有没有办法摆脱这个文件夹或将其作为其他应用程序沙盒文件夹保护?

2 个答案:

答案 0 :(得分:0)

这是5.1之前的Xamarin.Andriod中的已知漏洞。

使用 Xamarin.Android 5.1 或更新版 发布模式 重建/重新部署您的应用。

当前版本:

  • 稳定:
    • Xamarin.Android 6.0.1
  • Alpha预览2 - 周期6服务版本1
    • Xamarin.Android 6.0.1.5
  

Xamarin for Android< 5.1 DLL Hijack漏洞来自:ValdikSS日期:星期二,2015年5月19日16:49:51 +0300

     

-----开始PGP签名消息-----哈希:SHA256

     在版本5.1之前的Xamarin for Android允许替换内部版本   APK内的DLL文件,SD卡上的文件不在   安全存储。没有任何特殊权限的恶意应用程序   可以将后门DLL文件放入

     

/存储/ sdcard0 / Android设备/数据/ APP_ID /文件/ 替换 /

     

受害者应用程序将使用SD中的文件。不只是主要的   应用程序库可能被劫持,但也有Xamarin的System.dll   和Mono.Android.dll,所有Xamarin for Android都附带   应用

     

开发人员应该使用Xamarin for Android重建他们的应用程序   5.1或更新的发布模式。

     

这个漏洞是偶然发现的,这让我可以吃饭   免费一个月。

     

时间轴:       03.04.2015发现漏洞       07.04.2015发送给Xamarin的消息       08.04.2015 Xamarin承认了这个漏洞       29.04.2015已发布固定稳定版

     

-----开始PGP SIGNATURE -----

回复:http://seclists.org

答案 1 :(得分:0)

已直接询问Xamarin支持,因为事实证明这是一个回归错误,将通过进一步更新修复:https://bugzilla.xamarin.com/show_bug.cgi?id=37422