Fig

Reliable Third-Party Library Detection in Android and Its Security Applications

Abstract & Introduction

本文主要关注的是第三方库的安全问题。作者提出了一个检测第三方库的方法,该方法的特点主要是可以应对一般的混淆,并且能够给出第三方库的版本号。作者在此基础上进行了一些列分析,指出了第三方库的使用存在许多问题。

Fig

Approach

实现第三方库检测的方法主要分为两步,首先去第三方库提供商的网站上下载所有版本的库文件,分别提取每一个文件的特征,建立一个库文件特征的数据库。

Fig

  • 提取的特征为一个树状结构,包括每个层级的hash值,最小单位为method hash。
  • 对于Bytecode会进行标准化,去除编译相关的元素[……]

MORE

移动APP漏洞自动化检测平台建设

前言:本文是《移动APP客户端安全笔记》系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,APP漏洞检测工具与平台,以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学有所帮助,限于笔者技术水平与文章篇幅,有些内容暂没有逐一详细分析,后续我争取多学习多分享,在此也欢迎大家指点和交流。

 

一、国内Android App漏洞检测发展简史

1.1石器时代 (2007-2011)

关键词:反编绎,人工审计

2007年11年,Google正式发布了Android操作系统,2011年12月,Google发布[……]

MORE

image5

Android Accessibility安全性研究报告

第一章    Accessibility简介

近期,360烽火实验室发现一款滥用Accessibility的木马,该木马具有浏览器地址栏劫持、搜索劫持、桌面点击劫持以及防卸载等系列恶意行为。本报告将结合我们对该木马的分析,从Accessbility的设计初衷、技术发展、滥用情况等角度研究Accessibility的安全性。

一、    设计意义

依据Android官方文档,考虑到一些用户不能很好地使用Android设备,比如由于视力、身体、年龄方面的限制,造成阅读内容、触控操作、声音信息等方面的获取困难,因此Android提供了Accessibility特性和服务帮助用户更好地使用And[……]

MORE

Pegasus – 针对iOS设备的APT攻击分析

苹果在今天凌晨突然推送了iOS9.3.5更新,并且更新日志中提到修补了三个安全漏洞。随后Citizen Lab发布文章指出这三个0day被用于针对特殊目标远程植入后门,而Lookout则给出了对Pegasus的具体技术报告

远程植入的流程是首先引导用户访问指定页面,此时会触发webkit漏洞(CVE-2016-4657)获取代码执行权限,随后利用漏洞(CVE-2016-4655)泄露内核的加载基地址,最后触发漏洞(CVE-2016-4656)获取内核态的代码执行权限。在获取最高权限后,Pegasus还会进一步针对persistence处理,保证系统重启后后门仍然工作。

内核漏洞

通[……]

MORE

Android 7.0 新增安全特性

为了保护用户,每个新版本Android系统都会包含许多新的安全增强功能,在刚刚发布的Android 7.0系统上主要包含的新安全特性有:

 

1.基于文件系统加密

可加密单个文件,而不是加密整个磁盘,可以更好的隔离与保护不同Android用户及其私有数据;

 

2.Direct Boot

需要开启文件加密,此时Direct Boot允许在设备刚启动但未解锁的情况下直接启动一些App(如系统闹钟,辅助服务等);

 

3.Boot校验;

当设备中存在损坏的引导镜像或是错误分区时,为了防止恶意将拒绝设备启动或限制功能[……]

MORE

2

基于自适应热补丁的Android内核漏洞生态修复方案

1. 背景

Android内核漏洞严重影响了Android平台的安全。一旦内核被攻破,所有依赖内核完整性的安全机制都岌岌可危(比如加密、进程隔离、支付、指纹验证等)。作为Android平台最后的防线,TrustZone也会受到威胁,因为内核可以从很多被信任的接口向TrustZone发起攻击。因此,理想情况下Android生态圈应该及时消灭内核漏洞。然而从Google的Android Security Bulletin上看,Android内核漏洞的数量呈飞快上涨的趋势(Figure 1所示)。虽然这代表着人们对内核安全的投入逐渐增大,但与此同时这些漏洞一旦公诸于众,在很长一段时间都难以得到[……]

MORE

20160608221224926

HTTPS 理论基础及其在 Android 中的最佳实践

我们知道,HTTP请求都是明文传输的,所谓的明文指的是没有经过加密的信息,如果HTTP请求被黑客拦截,并且里面含有银行卡密码等敏感数据的话,会非常危险。为了解决这个问题,Netscape 公司制定了HTTPS协议,HTTPS可以将数据加密传输,也就是传输的是密文,即便黑客在传输过程中拦截到数据也无法破译,这就保证了网络通信的安全。

密码学基础

在正式讲解HTTPS协议之前,我们首先要知道一些密码学的知识。

明文: 明文指的是未被加密过的原始数据。

密文:明文被某种加密算法加密之后,会变成密文,从而确保原始数据的安全。密文也可以被解密,得到原始的明文。

密钥:密[……]

MORE

Android Java层的anti-hooking技巧

原文:http://d3adend.org/blog/?p=589

0x00 前言

一个最近关于检测native hook框架的方法让我开始思考一个Android应用如何在Java层检测Cydia Substrate或者Xposed框架。

声明:

下文所有的anti-hooking技巧很容易就可以被有经验的逆向人员绕过,这里只是展示几个检测的方法。在最近DexGuard和GuardIT等工具中还没有这类anti-hooking检测功能,不过我相信不久就会增加这个功能。

0x01 检测安装的应用

一个最直接的想法就是检测设备上有没有安装Substrat[……]

MORE

FFmpeg远程文件窃取漏洞 – 移动端安全分析报告

http://p6.qhimg.com/t0125dca251e736488e.jpg

作者: 360NirvanTeam & 360VulpeckerTeam 

0x1 漏洞起源

FFmpeg 远程文件窃取漏洞最初来源是国外的漏洞平台,去年已在CTF比赛中被使用。官方今年一月份发布修复版本并公布了该漏洞编号CVE-2016-1897/CVE-2016-1898。在今年blackhat也会有这个漏洞的相关议题,同时360产品线也收到了相关漏洞报告,目前正在跟进修复修复中。

0x2 关于FFmpeg组件

FFmpeg的是一款全球领先的多媒体框架,支持解码,编码,转码,复用,解复用,流媒体,过滤器和播放几乎任何格式的多媒体文件。支持无数编码的格[……]

MORE

百脑虫之hook技术

0x00 背景

2015年末爆发了感染量过百万的“百脑虫”手机病毒,经过360移动安全团队深入的跟踪和分析,我们又发现了病毒的另一核心模块,此模块包括3个ELF系统文件configpppm、configpppi、configpppl和一个伪装成系统应用的核心apk文件以及一个configpppl.jar文件。我们发现这些模块都使用之前发现的conbb(configopb)执行命令。在新发现的模块中,病毒使用了更高超的技术,可以在用户毫无察觉的情况下修改短信内容恶意扣费,从而非法获益。

0x01 传播途径

此病毒母体一般都是寄生在色情应用或者手机预装,这类色情应用都[……]

MORE