Intro
QQ拼音for Android v4.9.1的导出组件com.tencent.qqpinyin.voice.DownloadApkService没有对传入的下载地址进行过滤,导致任意文件下载,且没有对传入的文件名进行合法性校验,导致目录遍历。加上其本身Apk的特点,可以使用该组件感染/劫持so文件。之前没注意QQ拼音已经归属搜狗,2015-04-27提交到了TSRC,告知已转交搜狗。至今漏洞依然存在,但从v4.9.2开始lib目录有所变化,无法感染/劫持。
漏洞细节
查看AndroidManifest.xml文件,发现com.tencent.qqpinyin.voice.DownloadApkService导出:
<service android:name=".voice.DownloadApkService" android:process=":remote">
<intent-filter>
<action android:name="com.tencent.qqpinyin.download.apk" />
</intent-filter>
</service>DownloadApkService关键代码如下: