FFmpeg远程文件窃取漏洞 – 移动端安全分析报告

http://p6.qhimg.com/t0125dca251e736488e.jpg

作者: 360NirvanTeam & 360VulpeckerTeam 

0x1 漏洞起源

FFmpeg 远程文件窃取漏洞最初来源是国外的漏洞平台,去年已在CTF比赛中被使用。官方今年一月份发布修复版本并公布了该漏洞编号CVE-2016-1897/CVE-2016-1898。在今年blackhat也会有这个漏洞的相关议题,同时360产品线也收到了相关漏洞报告,目前正在跟进修复修复中。

0x2 关于FFmpeg组件

FFmpeg的是一款全球领先的多媒体框架,支持解码,编码,转码,复用,解复用,流媒体,过滤器和播放几乎任何格式的多媒体文件。支持无数编码的格[……]

MORE

百脑虫之hook技术

0x00 背景

2015年末爆发了感染量过百万的“百脑虫”手机病毒,经过360移动安全团队深入的跟踪和分析,我们又发现了病毒的另一核心模块,此模块包括3个ELF系统文件configpppm、configpppi、configpppl和一个伪装成系统应用的核心apk文件以及一个configpppl.jar文件。我们发现这些模块都使用之前发现的conbb(configopb)执行命令。在新发现的模块中,病毒使用了更高超的技术,可以在用户毫无察觉的情况下修改短信内容恶意扣费,从而非法获益。

0x01 传播途径

此病毒母体一般都是寄生在色情应用或者手机预装,这类色情应用都[……]

MORE

阿里巴巴2015移动安全漏洞年报

第一章 2015年应用漏洞

1.1、业界公开的应用漏洞类型和分布

2015是不平凡的一年,各界媒体对移动应用的漏洞关注度也越来越高,漏洞的产生不仅带来用户设备与信息的安全影响,也给企业带来业务或声誉上的损失。

阿里聚安全每周对国内外50家著名安全公司、媒体、漏洞平台的态势进行分析,国内外移动安全事件和资讯的关注依然是围绕操作系统和移动应用的技术风险展开,其中国内更加关注移动应用的漏洞风险。以下数据结论来自于阿里聚安全对业界风险态势的统计。

1. 行业分布

根据公开的漏洞数据统计,产生漏洞的应用所占行业比例与用户设备中安装的比例相似,应用工具类所产生的漏洞占比最高,达54%;游[……]

MORE

2013至2015年iOS平台网银应用安全性对比

针对分布在不同地理位置上的一些重要银行的iOS平台网银应用,本文主要从传输安全、编译器保护、UIWebView、数据存储、日志文件、二进制文件等方面研究了它们的安全性;此外,本文还将这次的研究结果与2013年进行的针对相同银行的APP安全性结果进行对比,并分析这两年之前iOS平台网银应用安全性的整体发展。

前言

2013年,为了了解一些重要银行移动网银应用的安全性整体情况,我决定开展一项研究

在这篇博文里,我将展示最新的研究结果,以显示与2013年相同的移动网银应用安全性的发展情况。

研究范围

我的研究包括40个移动网银应用,其中它们在全球地理位置分布如[……]

MORE

阿里无线安全团队发布2015第三季度移动安全报告

一. 病毒情况

    1) 2015年第三季度,安卓平台平均7台设备有1台设备染毒,总中毒设备量高达4121万,比第二季度增长16%。

    2) 2015年第三季度,阿里聚安全病毒扫描引擎共查杀病毒6293万次,比第二季度增长40%,帮助用户抵御了大量的病毒风险。

3) 阿里聚安全病毒样本库持续增长,2015年第三季度病毒样本量新增275.2万,比第二季度增长40%。

4) 第三季度内,病毒样本月均增长率为12%,平稳增长,但增长速度相比第二季度有所放缓。

5) 恶意扣费类病毒样本量占比最高,达64%,比第二季度上涨25%。第三季度,阿里移动安全团队发现[……]

MORE

RCTF2015-Mobile-出题思路及Writeup

从最初CTF上apk的简单反编译到现在各种加固逆向,难度已经上升了好多个级别。但感觉除了ACTF,多数的Mobile题目还是以逆向为主。此次作为ROIS成员有幸能参与到RCTF2015的出题工作中,于是尝试了一些新的出题思路,导致大家做题都很不适应,也把大家坑了一波。欢迎建议、意见、吐槽。

这次RCTF单独了一个Mobile类别,主题是漏洞,希望和大家一起探讨。

0x00 Mobile100-FlagSystem

Show me the flag. (The flag should include RCTF{}).ab_2e204fe0ec33b1689f1c47bd60[……]

MORE

SSL/TLS协议安全系列- SSL中间人攻击防范方案概述

0x00 简述

基于PKI体系的SSL/TLS协议近年来暴出很多安全问题,比如著名的HeartBleed、POODLE攻击和Freak攻击等,2014年关于SSL/TLS协议证书验证问题的CVE有成千个。针对SSL协议在实现中暴露出的各种问题,这里我们讨论一下现有的加固和防范方案,主要包括四个方面:

a) Key pinning策略
b) HSTS策略
c) 多路径证书检查策略
d) DNS-based authentication

下面我们基于这四个策略做详细介绍。

0x01 Key Pinning策略

1、 Key Pinning介绍

Pi[……]

MORE

MWR实验室公布Android系统0day漏洞可绕过Android沙箱

谷歌真是风波不断——近期,MWR实验室的研究人员又发现一个0day漏洞。这个漏洞存在于安卓系统中Google Admin应用程序处理一些URL的方式中,攻击者甚至可以通过这个漏洞绕过沙箱机制。MWR实验室在报告中提到了该漏洞原理:当Google Admin应用程序接收到一个URL,并且该URL是通过同一设备上任何其他应用的IPC调用接收时,Admin程序会将这个URL加载到它活动内的 Webview中。这时若攻击者使用一个file:// URL链接到他们所控制的文件,那么就可以使用符号链接绕过同源策略,并接收到Admin沙箱中的数据。

据悉,MWR实验室在今年3月就向[……]

MORE

让你的手机无法接发短信!安卓再爆两个短信拒绝服务/伪造状态漏洞,影响所有Android版本

趋势科技日前再次发现两个有关Android系统自带短信应用的漏洞,第一个漏洞(CVE-2015-3839)可能允许攻击者插入恶意消息到系统短信箱中导致其崩溃,造成用户无法发送和接收短信,第二个漏洞(CVE-2015-3840)可以伪造短信的发送和接收状态,可能导致用户重复发送短信增加话费。不同于之前的Android Stagefright和Mediaserver组件漏洞,新漏洞瞄准的是Android系统的短信应用。这两个漏洞影响Android系统所有版本,包获最新Android5.1.1(仅影响Android原生系统的短信应用,不包获第三方短信应用)。目前谷歌表示已经正在修复这两个漏洞,同时给[……]

MORE