菜单

微信公众号:Android安全中文站

Blog

Home page 2
Home page 2

基于BLE的IoT智能灯泡的安全漏洞利用

智能设备安全 by

前言 目前物联网和智能设备已经日益普及,并且当我们谈论物联网时,首先想到的往往是智能家居。智能家居通常涉及各种设备,包括智能冰箱、智能灯泡、电源适配器、水壶、烤面包机、蛋盘,等等。 在这篇文章中,我们将讨论如何接管基于BLE的IoT智能灯泡,与之进行交互,改变颜色,并在这个过程中考察BLE的安全机制。 在这篇…

阅读全文

 

11 2017-04

CVE-2017-2416 GIF表情引发的远程代码执行

iOS安全攻防 by

Abstract 前段时间偶然发现了一个ImageIO.framework中的图像解析漏洞,通过发送这个恶意图片,可以在任何有图片显示功能的应用中直接触发该漏洞,特别是各种IM应用(例如iMessage, Telegram, Slack, iMessage和国产流行IM,以及邮件应用例如Mail, Outlook, Inbox, Gmail,还有一些想做IM的金融应用例如alipay等),导致应…

阅读全文

 

10 2017-04

Android代码混淆技术总结(一)

安卓逆向分析 by

一、前言 最近一直在学习Android加固方面的知识,看了不少论文、技术博客以及一些github上的源代码,下面总结一下混淆方面的技术,也算是给想学习加固的同学做一些科普,在文中将到的论文、资料以及源码,我都会给出相应的链接,供大家进一步去深入学习。后面我会弄成一个系列的文章,如有一些混淆技术没讲到,还希望大家…

阅读全文

 

10 2017-04

Android安全开发之启动私有组件漏洞浅谈

APP漏洞挖掘 by

0x00 私有组件浅谈 android应用中,如果某个组件对外导出,那么这个组件就是一个攻击面。很有可能就存在很多问题,因为攻击者可以以各种方式对该组件进行测试攻击。但是开发者不一定所有的安全问题都能考虑全面。 对于这样的问题,最方便的修复方式就是在确定不影响业务的情况下,将这个存在问题的组件不对外导出变成私有…

阅读全文

 

07 2017-04

在Linux上使用AFL对Stagefright进行模糊测试

安卓漏洞攻防 by

前言 模糊测试是一种自动向程序传递输入数据并监控其输出的自动化测试技术。通过这种技术,安全人员可以测试程序的可靠性以及识别潜在的安全漏洞。 我们(360成都安全响应中心)将对Stagefright Media Framework进行模糊测试。它是Android系统上用于解析多媒体文件的逻辑算法库,其中包含了大量的安全漏洞,攻击者通过构造…

阅读全文

 

15 2017-03

浅入浅出Android安全(中文版)

移动安全书籍 by

来源:Yury Zhauniarovich | Publications 译者:飞龙 协议:CC BY-NC-SA 4.0 PDF版:https://www.gitbook.com/download/pdf/book/wizardforcel/asani   附目录: 第一章 Android 1.1 Android 技术栈 1.2 Android 一般安全说明 第二章 Android Linux 内核层安全 2.1 应用沙盒 2.2 Linux 内核层上的权限约束 第三章 An…

阅读全文

 

16 2017-02

使用AT调制解调器命令解锁LG Android屏幕

APP漏洞挖掘, 智能设备安全 by

现代智能手机不仅仅是用于语音呼叫的设备。现在,他们包含了大量的个人数据 – 联系人列表,通信历史,照片,视频,地理坐标等。大多数智能手机也可以作为一个调制解调器。 几乎每个调制解调器都是Hayes兼容的,这意味着它支持Hayes在1977年开发的AT语言的命令。每个型号都支持一些由制造商定义的基本命令集。有时这…

阅读全文

 

07 2017-02

利用漏洞解锁锤子T1/2手机的bootloader

安卓逆向分析 by

关于bootloader锁 Smartisan是手机中为数不多倾心于工业设计和用户体验的。老罗跨界过猛,也难免导致其最初的想法和现实存在差距。bootloader到底锁还是不锁,甚至曾被一个T1用户弄上法庭来质问。 当然,能从认为加锁是对系统的不自信,到后来发现解锁是安全隐患,绝对是个进步(loser口中的打脸)。技术层面来说,究竟T…

阅读全文

 

07 2017-02