测试环境:
Mac OS:10.14.5
安卓OS:4.4.4
IDA版本:7.0
操作
将db导入到手机中
cd dbgsrv
选择android_x86_server
注意:因为我们是用的模拟器,一定要选择android_x86
收录于话题 #信息安全 11 #隐私保护 5 #安卓 1 #cybersecurity 4 想象一下,有一天你正在登陆某个账号,突然收到一条密码泄露提醒。这时你会怎么办?PWN 君应该会立刻冻结账号或者修改密码。对于常年靠工具记密码的PWN君来说,这样的提醒的确有助于增强账号安全性。这项“密码检查”功能最早用于 Chrome 扩展,在此次更新之后,已经正式集成到 Android 9 以及更高版本的设备当中。图:Google2 月 19 日凌晨,谷歌正式上线 Android 12 首个开发者预览版。
Inspired by 360CERT安全研究 Security Research浏览器插件安全https://multilogin.com/mitigating-risks-of-browser-extensions/ 工控安全监测https://cyberics.github.io/News/news.html安全
收录于话题 概述近期,安全研究人员发现了一批新的android木马程序。这批木马程序通过在安全应用的启动程序中加入自身的恶意代码或修改安全应用的启动组件,然后将应用程序重打包,以达到窃取用户隐私数据的目的。修改后的应用看起来与安全的应用程序完全相同,甚至可执行其正常功能。这批木马程序主要针对巴基斯坦用户,程序启动后首先连接服务器下载恶意dex文件,通过加载恶意的dex文件执行窃取用户通讯录、短信息、通话记录、文件等信息的行为。并不影响原程序的执行流程,用户难以发现恶意软件的异常行为。
收录于话题 更多全球网络安全资讯尽在邑安全中国安全公司奇虎360的网络安全部门Netlab表示,本周发现了一个新兴的恶意软件操作,该操作目前正在感染Android设备,目的是组装DDoS僵尸网络。僵尸网络名为 Matryosh,它紧随Android设备之后,供应商已经启用了诊断和调试界面,称为Android Debug Bridge,并已在互联网上公开。活跃在端口5555,这个接口已经成为Android设备的问题已知源多年,不仅适用于智能手机,而且智能电视,机顶盒,并运行Android操作系统的智能设备。
编者按:2019年至2021年初,先后曝出三起App被质疑自动读取、删除用户相册图片舆情事件,涉及相关事件的应用在舆情发酵的第一时间均做出了回应:造成系统报应用删除图片的原因在于App仅在相关场景中对缓存图片数据进行读写、删除,这一行为本身并未删除图片,而操作系统对删除缓存数据未做区分。DPO社群的谷元坤和田申撰写了这篇文章。
发现
分析
影响
建议
IOCs:
参考:
发现
近期,我们发现了一批新型蠕虫木马,该木马不需要任何隐私权限,利用可穿戴设备扩展功能针对WhatsApp用户发送蠕虫链接。进一步分析,我们发现该木马实现原理可以针对所有实现了将可穿戴设备扩展添加到通知中的应用。由于将可穿戴扩展添加到通知中的功能在Android 5.0开始被提供使用,因此大约94.1%的Android设备受此蠕虫木马影响。
Inspired by 360CERT漏洞 VulnerabilitySonicWall SMA 100漏洞遭在野利用https://www.sonicwall.com/support/product-notification/urgent-security-notice-sonicwall-confirms-sma-100-series-10-x-zero
根据媒体的最新报道,意大利CERT的研究人员警告称,近期出现的新型Android恶意软件Oscorp正在利用手机的辅助服务(Accessibility Service)来进行恶意攻击。近期,来自安全公司AddressIntel的研究人员发现了一个名为Oscorp的新型Android恶意软件,而Oscorp这个名字来源于其命令和控制服务器登录页面的标题。跟其他的Android恶意软件一样,Oscorp恶意软件会想办法欺骗用户授予恶意软件访问Android设备辅助功能服务的权限。
收录于话题 维他命安全简讯30星期六2021年01月【威胁情报】意大利CERT警告新Android恶意软件Oscorp可窃取数据https://thehackernews.com/2021/01/italy-cert-warns-of-new-cr
作者:Samin Yaseer Mahmud*, Akhil Acharya*, Benjamin Andow†, William Enck*, and Bradley Reaves* 单位:*North Carolina State University, †IBM T.J. Watson Research Center 出处:USENIX 2020
作者:Marten Oltrogge,Nicolas Huaman,Sabrina Amft,Yasemin Acar,Michael Backes,Sascha Fahl 单位:CISPA Helmholtz Center for Information Security,Leibniz University Hannover 会议:U
概述:临近年底,黑客利用钓鱼网站分发恶意软件的热情并未熄火。近日安全研究人员发现了一批新的android木马程序,这批木马程序通过在安全应用的启动程序中加入自身的恶意代码或修改安全应用的启动组件,然后将应用程序重打包,以达到窃取用户隐私数据的目的。修改后的应用看起来与安全的应用程序完全相同,甚至可执行其正常功能。这批木马程序主要针对巴基斯坦用户,程序启动后首先连接服务器下载恶意dex文件,通过加载恶意的dex文件执行窃取用户通讯录、短信息、通话记录、文件等信息的行为。并不影响原程序的执行流程,用户难以发现恶意软件的异常行为。
威胁概述2020年12月,奇安信威胁情报中心移动安全团队通过奇安信威胁情报中心大数据平台监测到,国内某黑产组织投入的恶意黑产“Preload”SDK插件其访问的云控黑产插件下载服务器自2020年11月末开始进入新一轮爆发期。“Preload”SDK插件的云控黑产插件服务器近期爆发期访问趋势通过分析和关联,奇安信威胁情报中心移动安全团队发现“Preload” SDK自2019年7月开始被投入使用,至今共涉及百余款APP,其中部分游戏APP还出现在国内数个主流移动应用商店,累计感染百万级移动终端用户。
Google已在其Play商店(适用于Android)中封杀了右翼社交媒体应用Parler。谷歌在致Ars的一份声明中说,它正在执行一项长期政策,即要求社交媒体应用删除“包括煽动暴力等不当内容的帖子”。谷歌发言人对Ars说:我们知道在Parler应用程序中仍然有人在继续发布一些内容不当的帖子,他们试图在美国煽动持续不断的暴力行为,鉴于这一持续和紧急的公共安全威胁,我们将暂停从Play商店购买该应用,直到这些问题得到解决为止。虽然谷歌没有说明具体是哪些“帖子煽动暴力”,一个合理的猜测是,这些帖子与周三在美国国会大厦发生的骚乱有关,这次骚乱中断了国会对拜登当选总统的认证。
收录于话题 维他命安全简讯16星期六2021年01月【安全漏洞】Win10中未修复的0day可通过命令损坏NTFS硬盘https://www.bleepingcomputer.com/news/security/windows-10-bug-corru
收录于话题 安全帮®每日资讯谷歌解开了庞大的Android和Windows漏洞链据报道,近日谷歌的“零项目”(Project Zero)安全研究人员发布了一份详细分析报告,分析了去年年初在两台攻击服务器上发现的一系列漏洞,这些漏洞利用被攻破的web服务器攻击目标,用于所谓的“水坑攻击”(waterhole attack)。“零项目”研究人员没有指出参与者可能是谁,但表示发现的漏洞链通过模块化来提高效率和灵活性。
收录于话题 E安全1月15日讯 据报道,近日谷歌的“零项目”(Project Zero)安全研究人员发布了一份详细分析报告,分析了去年年初在两台攻击服务器上发现的一系列漏洞,这些漏洞利用被攻破的web服务器攻击目标,用于所谓的“水坑攻击”(waterhole attack)。“零项目”研究人员没有指出参与者可能是谁,但表示发现的漏洞链通过模块化来提高效率和灵活性:“它们设计精良,代码复杂,具有多种新颖的开采方法、成熟的测井技术、复杂的计算后开采技术,以及大量的反分析和目标检测。
收录于话题 #威胁情报 12 #漏洞系列 21 Google ProjectZero与威胁分析小组(TAG)披露了一个高级可持续性威胁(APT)攻击活动,该漏洞利用链分别针对Windows和Android用户进行0day漏洞攻击。该活动时间在2020年初,APT组织使用两台漏洞利用服务器进行水坑攻击,其中每一个都使用了单独的漏洞利用链。一台服务器针对Windows用户,另一台针对Android。Windows和Android服务器均使用Chrome漏洞利用程序进行初始远程代码执行。
收录于话题 NFCGateNFCGate是一款针对Android端应用程序的安全审计工具,该工具旨在帮助广大研究人员捕捉、分析和修改Android平台下的NFC流量。本质上来说,NFCGate是一款安全研究工具,可以帮助我们对协议进行逆向工程分析,或对协议进行安全性评估与审计。需要注意的是,该工具的开发仅供安全研究目的使用,请不要将其用于恶意目的。功能介绍设备内捕捉:捕获设备上运行的其他应用程序发送和接收的NFC流量。中继:使用服务器在两个设备之间中继NFC通信。一个设备作为读取NFC标签的“读卡器”运行,另一个设备使用主机卡仿真(HCE)来模拟NFC标签。
NFCGateNFCGate是一款针对Android端应用程序的安全审计工具,该工具旨在帮助广大研究人员捕捉、分析和修改Android平台下的NFC流量。本质上来说,NFCGate是一款安全研究工具,可以帮助我们对协议进行逆向工程分析,或对协议进行安全性评估与审计。需要注意的是,该工具的开发仅供安全研究目的使用,请不要将其用于恶意目的。功能介绍设备内捕捉:捕获设备上运行的其他应用程序发送和接收的NFC流量。中继:使用服务器在两个设备之间中继NFC通信。一个设备作为读取NFC标签的“读卡器”运行,另一个设备使用主机卡仿真(HCE)来模拟NFC标签。
收录于话题 关于Damn-Vulnerable-BankDamn-Vulnerable-Bank这款Android端应用程序,旨在提供一个接口以帮助广大研究人员都能详细了解Android应用程序的内部细节和安全情况。
摘要由于Android应用静态分析和动态分析两种漏洞挖掘方法的优势和局限性,本文提出了一种基于动静结合的Android应用漏洞挖掘方法。首先采用静态分析法获得应用的基本漏洞分析结果,然后在此基A础上构建动态分析的输入测试用例。在实机环境下进行模糊输入测试,利用污点分析技术对应用安全漏洞进行验证,最后得到应用漏洞报告。实验结果表明,与静态分析结果相比,该方法可以显著提高漏洞挖掘的准确性。 第一节 导言近年来,基于Android平台的应用开发呈现出快速增长的趋势,随之而来的安全问题也越来越引起人们的重视。由于开发者缺乏安全意识,在程序设计上存在各种漏洞[1]-[2][3]。
漏洞 VulnerabilityCVE-2020-0423 android内核提权漏洞分析https://bbs.pediy.com/thread-264616.htmCVE-2020-1472域内提权漏洞利用https://mp.weixin.qq.com/s/udhDpRK7xNc06cjyY1Xhpw安全工
收录于话题 本文译自Github.com@tanprathan 最近在Github上放出了一份移动应用安全分析工具的清单(Cheat Sheet),里边工具比较齐全。Security Toolkit翻译了其中的Android部分,大家有兴趣可以收藏之,以备日后要用。
收录于话题 0x01 Android签名机制将APK重命名为zip文件,然后可以看到有个META-INF的文件夹,里面有三个文件,分别名为MANIFEST.MF、CERT.SF和CERT.RSA,这些就是使用signapk.jar生成的签名文件。1、 MANIFEST.MF文件:程序遍历update.apk包中的所有文件(entry),对非文件夹非签名文件的文件,逐个生成SHA1的数字签名信息,再用Base64进行编码。
12月7日,研究人员公布了一个安卓间谍软件的功能。该软件由一个受制裁的伊朗黑客组织开发,可以让攻击者从流行的即时通讯应用程序中监视私人聊天,强迫Wi-Fi连接,自动接听特定号码的来电,以窃听通话。
今年9月,美国财政部对伊朗黑客组织APT39(又名Chaffer、ITG07或Remix Kitten)实施制裁。在制裁的同时,美国联邦调查局(FBI)发布了一份威胁分析报告,描述了Rana Intelligence Computing公司使用的几种工具,该公司充当了APT39组织进行恶意网络活动的幌子。
FBI正式将APT39的活动与Rana联系起来,详细列出了8套独立且不同的恶意软件。
手机吸费软件主要以两种形式出现:一种是手机生产商在定制手机时已经将吸费的软件做进去了,并且设置好了吸费软件的代码,甚至把上行代码和SP公司的计费单都做好了;另外一种是智能手机的软件,以正常服务软件的形式安装在手机里,但里面其实包含了恶意扣费代码。后一种形式的扣费也非常隐秘,一旦智能手机中安装了以正常服务软件出现的恶意扣费软件,这些软件就会屏蔽掉通信运营商(如中国移动10086)发送的收费提示短信,不知不觉中,用户的话费就被扣掉了。Check Point研究人员最近发现了Android 平台新出现了一个吸费恶意软件 WAPDropper,这是一种新型恶意软件,可以下载并执行其他有效载荷。
收录于话题 手机吸费软件主要以两种形式出现:一种是手机生产商在定制手机时已经将吸费的软件做进去了,并且设置好了吸费软件的代码,甚至把上行代码和SP公司的计费单都做好了;另外一种是智能手机的软件,以正常服务软件的形式安装在手机里,但里面其实包含了恶意扣费代码。后一种形式的扣费也非常隐秘,一旦智能手机中安装了以正常服务软件出现的恶意扣费软件,这些软件就会屏蔽掉通信运营商(如中国移动10086)发送的收费提示短信,不知不觉中,用户的话费就被扣掉了。
手机吸费软件主要以两种形式出现:一种是手机生产商在定制手机时已经将吸费的软件做进去了,并且设置好了吸费软件的代码,甚至把上行代码和SP公司的计费单都做好了;另外一种是智能手机的软件,以正常服务软件的形式安装在手机里,但里面其实包含了恶意扣费代码。后一种形式的扣费也非常隐秘,一旦智能手机中安装了以正常服务软件出现的恶意扣费软件,这些软件就会屏蔽掉通信运营商(如中国移动10086)发送的收费提示短信,不知不觉中,用户的话费就被扣掉了。Check Point研究人员最近发现了Android 平台新出现了一个吸费恶意软件 WAPDropper,这是一种新型恶意软件,可以下载并执行其他有效载荷。