Android BroadcastAnywhere漏洞分析

点评:这是Baidu X-team去年发现的Android系统的一个系统权限泄露漏洞,文章对漏洞分析与讲解都很透彻,所以挖出来分享下。

1.背景

2014年8月,retme分析了Android修复的一个漏洞,并命名为launchAnyWhere[1]

在调试这个漏洞的时候,发现Settings应用还存在一个类似漏洞,并在9月报告给了Android Security Team,标题为,Privilege escalation vulnerability in settings app of android 4.0 to 4.4 (leads to phishing sms), 并且很快得到了确认,Android官方也给了致谢[2]:

wp1

这个漏洞的Android ID是17[……]

MORE

从APK解密到批量获取他人信息

点评:在挖掘Android App的web端漏洞时,遇到一些看起来安全性做的比较好的应用会对http请求也会加密,这篇文章作者就提供了一个不错的基本的解决思路:反编译获取加密方式-》解密 -》添加logcat直接输出加密的内容。

0×00.背景

APK是AndroidPackage的缩写,即Android安装包(apk)。APK是类似Symbian Sis或Sisx的文件格式。通过将APK文件直接传到Android模拟器或Android手机中执行即可安装。
本次对这个APK进行分析,通过解密加密的数据,进而发现存在越权漏洞,然后就可以批量下载其他用户的数据。
[……]

MORE

Android Service Security

点评:瘦蛟舞大牛的最新力作,相比之前几篇更为精彩,值得学习。

0x00 科普


一个Service是没有界面且能长时间运行于后台的应用组件.其它应用的组件可以启动一个服务运行于后台,即使用户切换到另一个应用也会继续运行.另外,一个组件可以绑定到一个service来进行交互,即使这个交互是进程间通讯也没问题.例如,一个service可能处理网络事物,播放音乐,执行文件I/O,或与一个内容提供者交互,所有这些都在后台进行.

UTF8[……]

MORE

强大的移动安全”菜刀”–Santoku

点评:如果说Web安全爱好者们的必备利器是Kali Linux的话,Santoku就是移动安全版的”Kali”了,Santoku是一个致力于手机取证,恶意软件分析,应用安全测试的开源平台。它集成大量常用的移动安全工具,运行环境与框架,有趣的是它的logo是一把红色菜刀。自己用过一段时间感觉很不错,目前一直保持更新(已经更新到0.5版,基于Lubuntu14.04)。

官网:https://santoku-linux.com

[……]

MORE

“XXshenqi”安卓短信蠕虫分析报告

点评:最早接触安卓安全其实是从安卓木马病毒逆向分析开始的,这是自己刚入门时写的一篇报告,算是比较简单的样本。

周末闲着蛋疼,花半小时分析了下前两天很火的被媒体炒成”超级手机病毒”的XXshenqi.apk的样本,分享下,其实挺简单的一个安卓短信蠕虫病毒~

1.基本信息

文件名称    XXshenqi.apkUTF8[……]

MORE

新的Android webview远程代码执行漏洞分析与测试方法

点评:同样是很久前这个漏洞出来(9.29)后自己第一时间写的一篇分析报告,当时影响范围很广,一些系统版本在Android 4.4以下的用户均受到影响,影响的应用包获支付宝钱包,手机QQ,微信以及众多浏览器,但这个漏洞最后还是被评为了中危(CVE-2014-7224),因为它的利用条件略高了些。

漏洞发现者原文链接:https://daoyuan14.github.io/news/newattackvector.html

漏洞原理:

  webview addJavascript接口远程代码执行漏洞最早发现于2012年(CVE-2012-6636,2013年出现新攻击方法(CVE-2013-4710),同时在2014年发现在安卓android/webkit/webview中默认内置的一个searchBoxJavaBridge_ 接口同时存在远程代码执行漏洞(CVE-2014-1939),开发者可以使用removeJavascriptInterface(“searchBoxJavaBridge_”) 方法来移除这个默认接口以确保应用安全。UTF8[……]

MORE

使用drozer对Android应用进行安全评估

点评:本文对Drozer的基本使用有比较详细的讲解

drozer是一款针对Android系统的安全测试框架。drozer可以帮助Android app和设备变得更安全,其提供了很多Android平台下的渗透测试exploit供你使用和分享。对于远程的exploit,它可以生成shellcode帮助你进行远程设备管理。[……]

MORE

Android WebView 远程代码执行漏洞简析

点评:这是很早前自己写的一个报告,一直到现在很多人说到APP+代码执行都会想到这个漏洞。

0x00漏洞原理

Webview类是Android SDK中封装的用于显示网页的组件,通过webview组件应用可以轻松的开发内置浏览器访问网页,同时webview组件中还提供了一些接口实现应用与页面中Javascript脚本的交互,其中用于javascript调用导出的java类的AddJavascripInterface方法被发现存在远程命令执行漏洞,攻击者可以找到存在“getClass”方法的对象,然后通过反射的机制,得到Java Runtime对象,然后调用静态方法来执行系统命令。[……]

MORE