从APK解密到批量获取他人信息

点评:在挖掘Android App的web端漏洞时,遇到一些看起来安全性做的比较好的应用会对http请求也会加密,这篇文章作者就提供了一个不错的基本的解决思路:反编译获取加密方式-》解密 -》添加logcat直接输出加密的内容。

0×00.背景

APK是AndroidPackage的缩写,即Android安装包(apk)。APK是类似Symbian Sis或Sisx的文件格式。通过将APK文件直接传到Android模拟器或Android手机中执行即可安装。
本次对这个APK进行分析,通过解密加密的数据,进而发现存在越权漏洞,然后就可以批量下载其他用户的数据。
[……]

MORE

Android Service Security

点评:瘦蛟舞大牛的最新力作,相比之前几篇更为精彩,值得学习。

0x00 科普


一个Service是没有界面且能长时间运行于后台的应用组件.其它应用的组件可以启动一个服务运行于后台,即使用户切换到另一个应用也会继续运行.另外,一个组件可以绑定到一个service来进行交互,即使这个交互是进程间通讯也没问题.例如,一个service可能处理网络事物,播放音乐,执行文件I/O,或与一个内容提供者交互,所有这些都在后台进行.

UTF8[……]

MORE

强大的移动安全”菜刀”–Santoku

点评:如果说Web安全爱好者们的必备利器是Kali Linux的话,Santoku就是移动安全版的”Kali”了,Santoku是一个致力于手机取证,恶意软件分析,应用安全测试的开源平台。它集成大量常用的移动安全工具,运行环境与框架,有趣的是它的logo是一把红色菜刀。自己用过一段时间感觉很不错,目前一直保持更新(已经更新到0.5版,基于Lubuntu14.04)。

官网:https://santoku-linux.com

[……]

MORE

“XXshenqi”安卓短信蠕虫分析报告

点评:最早接触安卓安全其实是从安卓木马病毒逆向分析开始的,这是自己刚入门时写的一篇报告,算是比较简单的样本。

周末闲着蛋疼,花半小时分析了下前两天很火的被媒体炒成”超级手机病毒”的XXshenqi.apk的样本,分享下,其实挺简单的一个安卓短信蠕虫病毒~

1.基本信息

文件名称    XXshenqi.apkUTF8[……]

MORE

新的Android webview远程代码执行漏洞分析与测试方法

点评:同样是很久前这个漏洞出来(9.29)后自己第一时间写的一篇分析报告,当时影响范围很广,一些系统版本在Android 4.4以下的用户均受到影响,影响的应用包获支付宝钱包,手机QQ,微信以及众多浏览器,但这个漏洞最后还是被评为了中危(CVE-2014-7224),因为它的利用条件略高了些。

漏洞发现者原文链接:https://daoyuan14.github.io/news/newattackvector.html

漏洞原理:

  webview addJavascript接口远程代码执行漏洞最早发现于2012年(CVE-2012-6636,2013年出现新攻击方法(CVE-2013-4710),同时在2014年发现在安卓android/webkit/webview中默认内置的一个searchBoxJavaBridge_ 接口同时存在远程代码执行漏洞(CVE-2014-1939),开发者可以使用removeJavascriptInterface(“searchBoxJavaBridge_”) 方法来移除这个默认接口以确保应用安全。UTF8[……]

MORE

使用drozer对Android应用进行安全评估

点评:本文对Drozer的基本使用有比较详细的讲解

drozer是一款针对Android系统的安全测试框架。drozer可以帮助Android app和设备变得更安全,其提供了很多Android平台下的渗透测试exploit供你使用和分享。对于远程的exploit,它可以生成shellcode帮助你进行远程设备管理。[……]

MORE

Android WebView 远程代码执行漏洞简析

点评:这是很早前自己写的一个报告,一直到现在很多人说到APP+代码执行都会想到这个漏洞。

0x00漏洞原理

Webview类是Android SDK中封装的用于显示网页的组件,通过webview组件应用可以轻松的开发内置浏览器访问网页,同时webview组件中还提供了一些接口实现应用与页面中Javascript脚本的交互,其中用于javascript调用导出的java类的AddJavascripInterface方法被发现存在远程命令执行漏洞,攻击者可以找到存在“getClass”方法的对象,然后通过反射的机制,得到Java Runtime对象,然后调用静态方法来执行系统命令。[……]

MORE

Android https敏感数据劫持漏洞

点评:这个问题来源于开发者使用API不当信任所有证书造成用户受到中间人攻击时敏感数据泄露或劫持。

0x00 起因


1、近期icloud.com、yahoo.com、apple.com遭遇到大规模劫持

WooYun: Yahoo雅虎在国内访问遭遇SSL中间人攻击(被替换为自签名证书)

2、乌云平台、CVE都收到大量有关Android APP信任所有证书的漏洞

WooYun: 国内绝大部分Android APP存在信任所有证书漏洞

3、老外写有关大表哥的文章中提到MITM时360浏览器不提示证书错误

http://www.computerworld.com/article/2836084/chinese-big-brother-launches-nationwide-attack-on-icloud.html

之前信任证书问题一直都有被提到,但是普遍不受大家重视,因为这个漏洞是利用是需要场景的:MITM(中间人攻击 Man-in-the-middle attack)。一般情况下MITM相对其他攻击是比较少见的,如果有良好的上网习惯如不接入不受信任的网络,那就更少可能受此类攻击了。但是近期发生的MITM据传是在核心骨干网BGP上做了改动所以劫持范围非常之广,真是防不胜防呀,你被劫持了么?

[……]

MORE

Android Broadcast Security

点评:文章对Broadcast Recevier组件暴露造成的常见的本地拒绝服务,敏感信息泄露,权限绕过做了详细分析。

0x00 科普


Broadcast Recevier 广播接收器是一个专注于接收广播通知信息,并做出对应处理的组件。很多广播是源自于系统代码的──比如,通知时区改变、电池电量低、拍摄了一张照片或者用户改变了语言选项。应用程序也可以进行广播──比如说,通知其它应用程序一些数据下载完成并处于可用状态。 应用程序可以拥有任意数量的广播接收器以对所有它感兴趣的通知信息予以响应。所有的接收器均继承自BroadcastReceiver基类。 广播接收器没有用户界面。然而,它们可以启动一个activity来响应它们收到的信息,或者用NotificationManager来通知用户。通知可以用很多种方式来吸引用户的注意力──闪动背灯、震动、播放声音等等。一般来说是在状态栏上放一个持久的图标,用户可以打开它并获取消息。

[……]

MORE

Android Content Provider Security

点评:文章亮点在在Content Provider组件可导出与权限配置不当时使用ADBDrozer获取与修改敏感数据的方法与总结的经典案例。Content Provider Helper这个小工具在真机测试过程中还是挺方便的,分享给大家:点击下载

0x00 科普


内容提供器用来存放和获取数据并使这些数据可以被所有的应用程序访问。它们是应用程序之间共享数据的唯一方法;不包括所有Android软件包都能访问的公共储存区域。Android为常见数据类型(音频,视频,图像,个人联系人信息,等等)装载了很多内容提供器。你可以看到在android.provider包里列举了一些。你还能查询这些提供器包含了什么数据。当然,对某些敏感内容提供器,必须获取对应的权限来读取这些数据。[……]

MORE