远程在Android手机上安装任意软件

Metasploit的google_play_store_uxss_xframe_rce模块可以远程在Android手机从Google应用商店下载安装任意软件。该模块利用两个漏洞实现功能。第一个漏洞是Android手机AOSP浏览器存在通用跨站脚本攻击漏洞能够(UXSS),编号为CVE-2014-6041。第二个漏洞是Google应用商店的Web接口没有强制使用X-Frame选项,导致存在脚本注入漏洞。利用该模块,攻击者可以使得对方手机从Google应用商店下载对应的软件,并自动运行其中的特定模块。

发表评论

邮箱地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>