菜单

微信公众号:Android安全中文站

分类: APP漏洞挖掘

Home APP漏洞挖掘 (page 6)
Home APP漏洞挖掘 (page 6)

Android属性allowBackup安全风险浅析

APP漏洞挖掘 by

1. allowBackup安全风险描述 Android API Level 8及其以上Android系统提供了为应用程序数据的备份和恢复功能,此功能的开关决定于该应用程序中AndroidManifest.xml文件中的allowBackup属性值[1] ,其属性值默认是True。当allowBackup标志为true时,用户即可通过adb backup和adb restore来进行对应用数据的备份和恢复,这可…

阅读全文

 

14 2015-03

Android本地数据存储:Internal Storage安全风险浅析

APP漏洞挖掘 by

1. 内部存储(Internal Storage)风险描述 Android系统提供了以下四种Android应用本地存储方式:Shared Preferences、SQLite Databases、Internal Storage、External Storage等存储方式。内部存储(Internal Storage)是一种开发者可以直接使用设备内部存储器来创建和保存文件,默认情况下,以这种方式创建的文件只能被该当前…

阅读全文

 

14 2015-03

Android本地数据存储:Shared Preferences安全风险浅析

APP漏洞挖掘 by

1. 安卓Shared Preferences存储安全风险描述 Android系统提供了以下四种Android应用本地存储方式:Shared Preferences、SQLite Databases、Internal Storage、External Storage等存储方式。Shared Preferences是一种轻量级的基于XML文件存储的键值对(key-value)数据的数据存储方式,一般用于储存应用的配置等信息【1】; S…

阅读全文

 

14 2015-03

Android应用本地拒绝服务漏洞浅析

APP漏洞挖掘 by

1.本地拒绝服务漏洞描述       Android系统提供了Activity、Service和Broadcast Receiver等组件,并提供了Intent机制来协助应用间的交互与通讯,Intent负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述,Android系统则根据此Intent的描述,负责找到对应的组件,将Intent传递给调用的组件,并完成组件的调用[1]…

阅读全文

 

14 2015-03

SecureRandom漏洞解析

APP漏洞挖掘 by

SecureRandom漏洞描述 2013年比特币开发商在一篇博客中透露,由于Android系统存在一处关键漏洞,该平台上的比特币电子钱包很容易失窃。比特币开发商称,该漏洞影响到Android平台上的每一个比特币电子钱包应用程序,包括流行的比特币钱包(Bitcoin Wallet)、blockchain.info钱包(blockchain.info wallet)、BitcoinSpinne…

阅读全文

 

14 2015-03

WebView 远程代码执行漏洞浅析

APP漏洞挖掘 by

1. WebView 远程代码执行漏洞描述 Android API level 16以及之前的版本存在远程代码执行安全漏洞,该漏洞源于程序没有正确限制使用WebView.addJavascriptInterface方法,远程攻击者可通过使用Java Reflection API利用该漏洞执行任意Java对象的方法,简单的说就是通过addJavascriptInterface给WebView加入一个JavaScript桥…

阅读全文

 

14 2015-03

两分钟窃取身边女神微博帐号?详解Android App AllowBackup配置带来的风险

APP漏洞挖掘 by

笔者在使用自己编写的Drozer模块对国内流行的安卓手机应用进行自动化扫描后发现有大量涉及用户财产和隐私的流行安卓应用存在Android AllowBackup漏洞,已测试成功受到漏洞影响的应用包括:新浪微博,百度云网盘,美团,大众点评,去哪儿等等。[……] MORE

阅读全文

 

10 2015-03

从APK解密到批量获取他人信息

APP漏洞挖掘 by

点评:在挖掘Android App的web端漏洞时,遇到一些看起来安全性做的比较好的应用会对http请求也会加密,这篇文章作者就提供了一个不错的基本的解决思路:反编译获取加密方式-》解密 -》添加logcat直接输出加密的内容。 0×00.背景 APK是AndroidPackage的缩写,即Android安装包(apk)。APK是类似Symbian Sis或Sisx的文件格式。…

阅读全文

 

04 2015-03