Android平台下二维码漏洞攻击杂谈

0x00 前言

现在Android App几乎都有二维码扫描功能,如果没有考虑到二维码可能存在的安全问题,将会导致扫描二维码就会受到漏洞攻击,严重的可能导致手机被控制,信息泄漏等风险。

0x01 拒绝服务

低版本的zxing这个二维码库在处理畸形二维码时存在数组越界,导致拒绝服务。扫描下面的二维码,可能导致主程序崩溃:

p1

通过程序的崩溃日志可以看出是个数组越界:

0x02 本地文件读取

之前Wooyun上爆了一个利用恶意二维码攻击快拍的漏洞,识别出来的二维码默认以htm[……]

MORE