XG SDK是一个流行的Android app推送SDK,有不少流行Android app均在使用,本文分析的版本主要针对100001_work_weixin_1.0.0.apk所使用的版本。
漏洞最初在2016年4月份的时候提交给了某云网站,厂商已经确认,但由于网站持续“升级”的缘故,不太可能公开细节了。后续漏洞也已经提交给了TSRC,时至现在,相关漏洞均已经完全修复,漏洞已经不影响使用该SDK的app了,因此本文决定对相关技术细节予以分享,并补充有关该漏洞后续的一些研究。
0x01 漏洞分析
XG SDK会周期性地启动一个libtpnsWatchdog.[……]
目前为止我们已经使用 catchform 方法来利用 UXSS 漏洞,但是利用暴露的 catchform 方法在 mxbrowser_default 数据库中触发客户端 SQL 注入也是可行的,这可以远程破坏数据库的完整性和机密性。
考虑到下面的代码取自 com.mx.browser.a.f 类。当域的用户名/密码行不存在时,使用参数化的 SQL 语句将数据插入本地数据库。当该域的用户名/密码行已经存在时,使用动态字符串链接构建 UPDATE SQL 语句。恶意网页控制 b 变量(用户名)和 a 变量(host),但不直接控制 c 变量(密码),因为密码是[……]
Maxthon Browser(傲游浏览器) 又是一个当下比较流行的 Android 浏览器,未使用Android 的 stock 浏览器(AOSP)。我在 Android 版的浏览器中发现了一些有趣的甚至有些严重的漏洞,可能导致远程代码执行和信息泄漏。
漏洞要点:
installWebApp方法解压缩。由于缺少对 zip 文件所包含的文件名进行输入验证,攻击者可以制作一个恶意的 zip 文件,造成路径穿越来覆盖浏览器沙盒中的[……]
2016年7月14号,来自美国加利福尼亚州莫德斯托社区学院的Salvador Mendoza发表了一篇题为《Samsung Pay:Tokenized Numbers, Flaws andIssues》的文章,称发现了Samsung Pay Token的安全问题。同年8月4号,其在Black Hat USA大会上对此项攻击进行了宣讲和演示(针对VISA卡片进行)。对此,国内各大媒体纷纷予以跟踪报道,那么Samsung Pay是不是真的这么不堪一击呢?
Salvador Mendoza使用android系统的adb命令对Samsun[……]
阿里聚安全的Android应用漏洞扫描器有一个检测项是本地拒绝服务漏洞的检测,采用的是静态分析加动态模糊测试的方法来检测,检测结果准确全面。本文将讲一下应用漏洞扫描器在针对本地拒绝服务的检测方法。
Android应用使用Intent机制在组件之间传递数据,如果应用在使用getIntent(),getAction(),Intent.getXXXExtra()获取到空数据、异常或者畸形数据时没有进行异常捕获,应用就会发生Crash,应用不可使用(本地拒绝服务)。恶意应用可通过向受害者应用发送此类空数据、异常或者畸形数据从而使应用产生本地拒绝服务。[……]
1、HTTPS简介
HTTP协议是没有加密的明文传输协议,如果APP采用HTTP传输数据,则会泄露传输内容,可能被中间人劫持,修改传输的内容。如下图所示就是典型的APP HTTP通信被运营商劫持修改,插入广告:
上图是在我的住处,用WiFi打开某APP,页面底部出现了一个拆红包的广告,点开以后是一个安装APP的页面,如果我用联通的4G网络打[……]
本文主要关注的是第三方库的安全问题。作者提出了一个检测第三方库的方法,该方法的特点主要是可以应对一般的混淆,并且能够给出第三方库的版本号。作者在此基础上进行了一些列分析,指出了第三方库的使用存在许多问题。
实现第三方库检测的方法主要分为两步,首先去第三方库提供商的网站上下载所有版本的库文件,分别提取每一个文件的特征,建立一个库文件特征的数据库。
前言:本文是《移动APP客户端安全笔记》系列原创文章中的第一篇,主要讲的是企业移动APP自动化漏洞检测平台建设,移动APP漏洞检测发展史与前沿技术,APP漏洞检测工具与平台,以及笔者的一些思考。希望能对移动App自动化漏洞检测感兴趣的同学有所帮助,限于笔者技术水平与文章篇幅,有些内容暂没有逐一详细分析,后续我争取多学习多分享,在此也欢迎大家指点和交流。
关键词:反编绎,人工审计
2007年11年,Google正式发布了Android操作系统,2011年12月,Google发布[……]
众所周知,在Android 4.4系统上 Google已经将系统默认的Webkit内核替换成自己的开源项目chromium,并在Issue 213693005(https://codereview.chromium.org/213693005)屏蔽 了webview的object.getClass,android在4.4.4版本上彻底从native层禁止了webview对getClass的调用,从而阻断了一条反射执行命令的道路。但是Context的getClassLoader().loadClass(“java.lang.Runtime”)却是没有被禁止的。
同样是web[……]
在上篇文章中我已经使用CodeInspect对WiFi万能钥匙进行了演示分析,在大概分析了下它的代码后,我发现这款APP并没有做什么加固措施,导致接口很容易就可以被分析出来。事实上在去年网上就有针对WiFi万能钥匙接口协议的分析,在经过多次版本迭代后,新版的Wifi万能钥匙在安全性上似乎并没有太大的提升,虽然接口有一些变化,但是核心的加密算法却没有改变并且很容易被逆向。凭借CodeInspect,我很快的就分析出了它的代码逻辑,并且写了一个查询脚本,在文章后面会提到。
我们首先来看一下Wifi万能钥匙的主界面,可以看到主界面有一个一键查询万能钥匙的按钮,这个按钮的功能是扫描附近的[……]