今回はこちら

https://hackerone.com/reports/331302

タイトルは

Improper protection of FileContentProvider

FileContentProviderに渡していいデータかどうかを判定するロジックで、

パッケージ名にcom.nextcloud.clientの文字列さえ入っていればOKとみなしている

よって、それらを含めた、例えば以下のようなアプリケーションでも許可されてしまう

んー、

例として以下をあげているんですが…

URI: content://org.nextcloud/arbitrary_data

なぜこれでOKとみなされるんだろう？？

すんません実力不足でよくわからない…

何かを閃いたら戻って追記します…

以上