数据库文件任意读写 -openOrCreateDatabase方法

---

一、API

1. openOrCreateDatabase(String dbName , int mode , CursorFactory factory)

示例： openOrCreateDatabase(“test.db” , Context.MODE_PRIVATE , null)

2. 第一参数：数据库的名称

3. 第二参数：指定数据库文件的操作模式

【1】Context.MODE_PRIVATE = 0 （0x0000）

  默认操作模式，代表该文件是私有数据，只能被应用本身访问，同时写入的内容会覆盖原文件的内容

【2】Context.MODE_ENABLE_WRITE_AHEAD_LOGGING = 8 (0x0008)

  表示读写操作能否同时进行的一个标志属性

【3】Context.MODE_WORLD_READABLE = 1 (0x0001)

  表示当前文件可以被其他应用读取

【4】Context.MODE_WORLD_WRITEABLE = 2 (0x0002)

  表示当前文件可以被其他应用写入

【5】Context.MODE_WORLD_READABLE + Context.MODE_WORLD_WRITEABLE = 3 (0x0003)

  表示文件可被其他应用读和写

4. 第三参数：附加的一个工厂类，当SQLiteDatabase实例的query函数被调用时，会使用该工厂类返回一个Cursor。可为null

5. 参考链接：

http://blog.csdn.net/olanmomo/article/details/39829669

二、触发条件

1. openOrCreateDatabase("test.db" , Context.MODE_WORLD_READABLE , null)

2. openOrCreateDatabase("test.db" , Context.MODE_WORLD_WRITEABLE , null)

3. openOrCreateDatabase("test.db" , Context.MODE_WORLD_READABLE + Context.MODE_WORLD_WRITEABLE , null)

4. 对应到smali中的特征

【1】;->openOrCreateDatabase

(Ljava/lang/String;ILandroid/database/sqlite/SQLiteDatabase$CursorFactory;)

Landroid/database/sqlite/SQLiteDatabase;

【2】判断对寄存器的赋值：const v1 0x1 / const v1 0x2 / const v1 0x3

三、漏洞原理

【1】数据库(Database)文件没有使用正确的创建模式，导致可被其他应用访问，并执行读写操作，可能会导致敏感信息的泄漏

【2】详细的原理&POC ，参考链接：

https://jaq.alibaba.com/community/art/show?spm=a313e.7916646.24000001.15.FuoGgI&articleid=59

四、修复建议

【1】避免使用MODE_WORLD_READABLE和MODE_WORLD_WRITEABLE模式创建数据库(Database)