Metasploit的google_play_store_uxss_xframe_rce模块可以远程在Android手机从Google应用商店下载安装任意软件。该模块利用两个漏洞实现功能。第一个漏洞是Android手机AOSP浏览器存在通用跨站脚本攻击漏洞能够(UXSS),编号为CVE-2014-6041。第二个漏洞是Google应用商店的Web接口没有强制使用X-Frame选项,导致存在脚本注入漏洞。利用该模块,攻击者可以使得对方手机从Google应用商店下载对应的软件,并自动运行其中的特定模块。
远程在Android手机上安装任意软件
发表回复