记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华Phishing Attacks on Modern Android
出处:CCS 2018
作者:Simone Aonzo, Alessio Merlo, Giulio Tavella, Yanick Fratantonio
原文链接:http://www.s3.eurecom.fr/~yanick/publications/2018_ccs_phishing.pdf
文章概述
安卓系统为了便利性引入了许多新的功能。这篇文章中,作者对现有的四款比较著名的密码管理App以及安卓系统提供的Google Smart Lock(GSL)服务进行了分析,并利用密码管理器(Password Managers, PMs in short)和即时App(Instant App)这两个新功能在设计上的不足针对自动填充密码功能实现了安卓系统上的全新钓鱼攻击。该种攻击方式比现有的钓鱼攻击方式
发布时间:2018-11-20 19:25 |
阅读:8390 | 评论:0 |
标签:Android
Don’t Throw Me Away: Threats Caused by the Abandoned Internet Resources Used by Android Apps
单位:早稻田大学
出处:AsiaCCS’18
资料:Paper
1 INTRODUCTION
现代APP为了提供更丰富的额外功能大多会采用一些网络服务,例如语音识别、天气预报等。这些直接由服务端提供的服务使开发者能偶较为容易地在移动端实现这些功能。但是这些支持移动应用的服务因为存在于服务端,当程序被发布之后,开发人员可能会因为维护成本渐渐地不再维护这些网络资源。本文中,作者对Android移动应用程序的开发者们进行调查,发现78%的开发人员没有定期更新发布的应用程序。还有66%的开发人员不是全职开发人员。因此这些应用程序使用的互联网资源将缺乏维护。而且这些资源的所有权会带来变更:域名或IP信息可能会被重新注册。本文中,作者进行了大规模的调查,通过对110万个应用的分析,作者发现尽管很多应用已
发布时间:2018-11-14 14:25 |
阅读:13612 | 评论:0 |
标签:Android
影响Android多个高权限服务的严重漏洞详情披露(CVE-2018-9411)
媒体框架是安卓系统组件中经常被发现安全漏洞的组件,所以每次谷歌发布月度例行更新时经常会有它的身影。Google最近发现的媒体框架的漏洞是远程代码执行漏洞,攻击者可以制作特定的文件利用特权进程执行任意代码。目前Google已将其命名为CVE-2018-9411,危险等级定位危急,并在7月安全更新(2018-07-01补丁)中对其进行了修补,包括9月安全更新(2018-09-01补丁)中的一些附加补丁。我还为此漏洞编写了一个概念验证利用,演示了如何使用它来从常规非特权应用程序的上下文中提升权限。本文,我将介绍该漏洞和利用此漏洞的技术细节。首先我将介绍与漏洞相关的一些背景信息,然后再详细介绍漏洞本身。在介绍如何利用此漏洞的过
Android/TimpDoor将移动设备变成隐藏的代理
McAfee Mobile Research团队最近发现了一个活跃的使用短信(SMS)进行网络钓鱼的行动,诱使用户下载并安装虚假语音留言应用程序,该程序允许网络犯罪分子在用户不知情的情况下将受感染的设备用作网络代理。如果安装了虚假应用程序,后台服务将启动Socks代理,该代理通过安全shell隧道加密连接重定向来自第三方服务器的所有网络流量——允许潜在访问内部网络并绕过网络安全机制,如防火墙和网络监视器。McAfee Mobile Security将此恶意软件检测为Android / TimpDoor。运行TimpDoor的设备可以作为移动后门,用于秘密访问企业和家庭网络,因为恶意流量和有效载荷是加密的。更糟糕的是,受
在Android APK中嵌入Meterpreter
当今世界,移动电话无处不在。我们日常生活中的许多应用程序正在迁移到云部署,从而使前端技术重新回到瘦客户端的时代。我们的瘦客户端可以是任何东西,从JavaScript浏览器框架到支持移动设备的前端,例如Apple iOS上的Objective-C,或基于Android的Java。Apple继续维持范例,审查所有进入iOS应用程序商店的应用程序。即便如此,仍然存在恶意软件蔓延的情况。与Apple不同,Android市场是一种开放的方式,允许任何人为游戏商店做出贡献,而且占据了移动市场份额的大部分江山。此外,还有各种第三方网站可以直接下载Android应用程序包文件(APK)。Metasploit项目允许测试人员使用功能非常
恶意软件Android / TimpDoor可将您的手机变成黑客工具
McAfee Mobile研究团队最近发现了一个使用短信的活跃网络钓鱼活动,诱使用户下载并安装假的语音留言应用程序,该应用程序允许网络犯罪分子在用户不知情的情况下将受感染的设备用作网络代理。安装了虚假应用程序后,后台服务将启动Socks代理,该代理通过安全加密链路重定向来自第三方服务器的所有网络流量—-允许黑客访问内部网络并绕过网络安全机制,如防火墙和网络监视器。McAfee Mobile Security将此恶意软件命名为Android / TimpDoor。
运行TimpDoor的设备可以作为移动后门让网络犯罪分子隐匿访问企业和家庭网络,因为恶意流量和有效负载是加密的。更糟糕的是,受损设备网络也可用于更有利可图的目的,例如发送垃圾邮件和网络钓鱼电子邮件,执行广告点击欺诈或启动分布式拒绝服务攻击
如何在iOS和Android的应用程序中共享Kotlin代码的功能
在本文中,我将使用Kotlin的代码共享特性创建一个iOS和Android应用程序。对于Android,我将使用Kotlin/JVM,而对于iOS,我将使用Kotlin/Native。你将在本文中学习到以下内容:1.用Android Studio创建一个Android应用程序;2.创建一个共享的Kotlin库:2.1使用Android应用程序;2.2启动Android应用程序;3.用Xcode创建一个iOS应用程序:3.1使用iOS应用程序中共享的Kotlin库;3.2使用Swift的Kotlin;3.3启动iOS应用程序本文的目标是向你介绍如何在Kotlin中共享代码,及其共享代码提供的好处。虽然你以下看到的是一个简
安卓应用程序渗透测试(十二)
前不久为大家介绍了安卓应用程序渗透测试checklist的第一部分,今天与大家分享第二部分。M6—不安全的授权为了测试设计存在问题的授权方案,测试员可以尝试对移动app发起二进制攻击,在app处于离线模式下执行只有高级权限用户才能执行的功能,看看是否能成功。测试员可以尝试在向后端服务器发起敏感功能的POST/GET请求中使用低权限的session来执行高权限的功能。授权方案设计存在缺陷或者缺失,让攻击者能够使用通过app身份验证的低权限用户执行他们原本无权执行的功能。手机有一个需求就是要保证离线时的可用性,所以授权通常是在移动设备本地完成的,而不是通过远程服务器,如此一来,授权问题就更加容易遭受攻击。如果授权被绕过,依
千面万化的Android特洛伊木马GPlayed
一种新发现的Android恶意软件在复杂性和灵活性方面提升了标准,为运营人员提供了适应各种任务的能力。网络犯罪分子目前正在对GPlayed进行测试,但恶意软件分析人员警告称,它已经成为严重的威胁。模块化体系结构通过插件扩展其功能,无需重新编译和更新设备上的软件包即可添加插件。功能广泛操作人员还可以注入脚本并将.NET代码发送到受感染的Android,GPlayed编译和执行。它是使用Xamarin环境为移动应用程序构建的,并使用一个名为“eCommon”的DLL,它“包含与平台无关的支持代码和结构”。此模型显示了进化的新步骤,代码可以从桌面平台迁移到移动平台,从而产生混合威胁。它在设备上伪装成Play商店应用程序,使用
安卓应用程序渗透测试(十一)
移动平台提供了很多服务,从身份验证到安全数据存储再到安全网络通信。但是,如果平台的某些功能使用不当,可能会导致数据泄露,允许不信任主机连接等问题。本文我们总结了一些安卓的checklist。M1–平台使用不当移动平台(iOS,Android,Windows phone)为我们提供了文档结构良好且通俗易懂的特性和功能,而这类风险的特征就是app没有使用这种功能或者使用不当。另请阅读:完整的移动应用渗透测试指南导致这种风险的行为有如下几种:违反发布的指南所有平台都会开发安全指南。如果某个app不遵守安全指南,违反开发者提供的最佳做法,就会存在该风险。违反条款或惯例开发者编写的指南并不会包含所有的最佳做法,在某些
安卓应用程序渗透测试(十)
废话不多说,直奔主题。攻击广播接收器(broadcst receiver)广播接收器是一个安卓组件,通过该组件,你可以注册系统事件或应用程序事件。关于广播接收器的更多内容,你可以看看安卓应用程序渗透测试五。我们先来检查一下安卓manifest文件广播接收器通常都是以下列格式注册的,在安卓manifest文件中,我们可以看到broadcast的导出值为真,即 exported value=true。因为接收器可以被导出,所以这段代码并不安全,如图:传递给广播接收器的参数,在下图中我们可以很清楚的看到: 我们的目的是发送欺骗性广播intents,看看应用程序是不是会接受。如果会接受的话,我们将利用这个app使用虚
安卓应用程序渗透测试(九)
在上一篇文章安卓应用程序渗透测试八中,我们讲解了当app想要与其他app共享数据时,通过content provider发起攻击和不安全的加密技术,本文我们继续讲解其他攻击手法。攻击安卓粘贴板(pasteboard)安卓提供剪贴板框架来复制和粘贴不同类型的数据,如文本,图像,二进制流数据或者其他复杂的数据类型。简单的文本数据直接存储在剪贴板中,而复杂的数据则存储为一个引用,将要粘贴的应用使用content provider可以对这个引用进行解析。在实现了剪贴板框架的app内部或不同的app之间可以进行复制粘贴。为了使用剪贴板,你需要调用getSystemService()方法来实例化一个ClipboardManager
安卓应用程序渗透测试(八)
在上一篇文章安卓应用程序渗透测试七中,我们已经讲到了不安全的外部存储和内部存储,还有不安全的通信。本文继续讲解其他问题。攻击Content Provider在开始之前,建议先阅读一下关于Content Provider的相关内容,在安卓应用程序渗透测试五中有介绍,当一个app想跟另外一个app共享数据时,Content Provider至关重要,所以读一下还是很有帮助的。Content Provider通过处理其他app的请求来管理对结构化数据集的访问。所有的访问请求都会调用Content Resolver,然后再通过Content Resolver去调用具体的Content Provider方法进行访问。常用方法如下
Tackling Runtime-based Obfuscation in Android With TIRO
出处:USENIX 18’
资料:Slides、Paper
1 Abstract & Introduction
混淆技术经常被使用在恶意软件上对抗自动化的程序分析。在Android 平台恶意软件经常使用Java反射、加壳还有字符串加密等方式。作者把常见的混淆技术如字符串加密、动态解密、Java反射调用native方法归类为language-based混淆,而完全避开Java完全在Native代码中执行的混淆方式叫做full-native混淆。作者在文中提出了一种新型的混淆技术,它会破坏Android运行时完整性的同时使用混淆技术,作者称之为runtime-based 混淆。runtime-based混淆优于language-based混淆和full-native代码混淆。 虽然la
发布时间:2018-10-08 19:25 |
阅读:47125 | 评论:0 |
标签:Android
安卓应用程序渗透测试(七)
在上一篇文章安卓应用程序渗透测试六中,我们看到了漏洞被分为十大类。现在我们就来看看其中的几个。不安全的登录—ADB Logcat:Logcat是一个命令行工具,可以dump系统消息日志,包括设备报错时的堆栈跟踪以及使用Log类从应用程序写入的消息。通过Android Logcat你可以:· 查看,过滤和收集所有应用程序日志· 查看,过滤和收集所有系统日志,例如垃圾收集器事件· 检索已发生的所有意外错误有时当您登录应用程序时。这些凭据可以在日志中找到。返回原文观看视频。缓解措施:adb logcat -c“(这会清除日志),请确保在编写应用程序凭证时不显示在日志中。不安全的外部和内部存储我们已经知道设
安卓应用程序渗透测试(六)
前面啰嗦了这么多,讲了很多基础知识,现在,就让我们开始渗透的乐趣吧。根据Owasp,漏洞共分为十大类。M1—平台使用不当M2—不安全的数据存储M3—不安全的通信M4—不安全的身份验证M5—不安全的密码M6—不安全的授权M7—客户端代码质量问题M8—代码篡改M9—逆向工程M10—附加功能漏洞应用程序实战合集:https://pentestlab.blog/2016/11/07/list-of-vulnerable-android-applications/本文中,我们将使用不安全的银行App来演示漏洞。信息收集我们可以使用Drozer来收集安卓APP的信息。命令 – run app.package.info –a <
公告
关注公众号hackdig,学习最新黑客技术