记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华Dazed Droids: A Longitudinal Study of Android Inter-App Vulnerabilities
作者:Ryan Johnson, Mohamed Elsabagh, Angelos Stavrou, Jeff Offutt
单位:Kryptowire, George Mason University
出处:ASIA CCS ’18
资料:论文
1 ABSTRACT & INTRODUCTION
随着Android应用复杂性的提高和功能的丰富,Android更依赖于应用之间的代码和数据共享,以缩短响应时间并提供更丰富的用户体验。
绝大部分的Android App之间和其本身发生数据通信的时候使用的都是intent对象:intent类似于消息的抽象,提供了一种便于数据交换的基本通信机制。但是有些时候开发者们有意或无意地暴露了一些App Components内部的接口,让它们可以被本地的其他
发布时间:2019-01-16 19:25 |
阅读:14575 | 评论:0 |
标签:Android
Paypal账户双因素验证又怎样?Android木马照窃不误
2018年首次检测到了一种Andorid木马,该木马混合远程控制银行木马和新型Android辅助功能的误用,针对的是PayPal应用程序用户。恶意软件伪装成电池优化工具,并通过第三方应用商店分发。
运行方式
恶意程序在启动后不提供任何功能,并将图标隐藏,之后,其功能可分为两个主要部分,描述如下:
针对PayPal的恶意访问服务
该恶意软件的首要功能是从受害者的PayPal账户上窃取钱财,因此需激活恶意访问服务。如图所示,该请求会呈现给用户的是“启用统计”服务。
如受感染设备上安装过官方PayPal应用程序,恶意软件会提示用户启动该程序。一旦用户打开并登录用户,恶意的辅助功能服务(如用户已启用) 便会模仿用户点击,将钱打入攻击者的PayPal地址,全过程只要5秒。
恶意软件并不依赖窃取PayPal登录凭证,而
Android应用逆向工具分享
在当今这个这代,智能手机已经人手一部,成为每个人生活中不可或缺的一部分,这也同时引起了极大的安全和隐私问题。保护智能手机,避免遭受各种各样的安全威胁已经成为一个主要问题。智能手机长期以来就是一个容易被攻击的目标。而且现在受感染的应用程序越来越多,我们必须要采取一些安全措施了,比如代码签名,APP隔离等。Android操作系统,之前是由Android Inc公司开发的,现在归谷歌所有,Android操作系统不仅受到了智能手机用户和开发者的青睐,而且黑客也对它情有独钟,因为Android系统依然是主要的攻击目标。在这篇文章中,我们将讨论不同的用来执行Android逆向工程的工具,并且这些工具在网上都是免费可用的。不过在开始
MOBSTSPY间谍软件在Google Play上伪装成Android应用程序
ANDROIDOS_MOBSTSPY伪装成合法的Android应用程序来收集用户的信息。这些应用程序可在2018年在Google Play上下载,其中一些已被全球用户下载超过100,000次。我们最初研究的应用之一是Flappy Birr Dog游戏,如图1所示。其他应用程序还包括FlashLight,HZPermis Pro Arabe,Win7imulator,Win7Launcher和Flappy Bird。自2018年2月以来,其中六分之五的应用程序已在Google Play上暂停使用。截至撰写时,Google已经删除了所有这些应用程序。图1. Flappy Birr Dog下载页面一、信息窃取MobSTSPY
针对动态逆向工程攻击的Android应用保护方案(下)
对root权限进行检测本节会介绍对root权限进行检测的技术思路,这些思路我们都在上文中介绍过。就是基于这些方法,研究人员制作了一个具有root权限属性的检测表,并设计了几个函数(如上所示)来检测它们。在检测表中,研究人员将上文所讲过的第二种检测方法(检测已安装文件)细化为两项检测:检测su二进制文件和检测来自busybox的命令。研究人员并没有将上文所讲过的第七中检测方法(使用shell命令检测root权限)包含在检测表中,因为该方法可以很容易被其他方法替代。研究人员使用的是开源软件实现的这些检测功能,检测表和函数的具体运行过程如下所示:· detectTestKeys()会检测自定义镜像闪烁,它会reads /sy
针对动态逆向工程攻击的Android应用保护方案(上)
前言之所以Android应用程序的逆向工程很简单,是因为它是用高级但简单的字节码语言编写的。字节码(Byte-code)是一种包含执行程序,由一序列op代码或数据对组成的二进制文件,是一种中间码。由于恶意逆向工程攻击,许多Android应用被篡改和重新包装成恶意应用。为了保护Android应用程序不受逆向工程的影响,研究人员已经研究出了诸如混淆、打包(打包可执行文件)、加密和反调试等反逆向工程技术。不过混淆、打包和加密是针对静态逆向工程的防御技术,并不能防止内存转储和运行时调试(runtime debugging)等动态逆向工程。而现有的针对动态逆向工程的防御技术,通常只会通过确定应用程序是否在基于仿真的分析环境中执行
PatternListener_ Cracking Android Pattern Lock Using Acoustic Signals
作者:ManZhou1,QianWang1,JingxiaoYang1,QiLi2,FengXiao1,ZhiboWang1,XiaofengChen3
单位:School of Cyber Scienceand Engineering, Wuhan University, Graduate School at Shenzhen & Department of Computer Science,Tsinghua University, School of Cyber Engineering, Xidian University
出处:CCS’18
论文:https://arxiv.org/pdf/1810.02242.pdf
ABSTRACT
手势密码的应用十分广泛,包括解锁手机或是应用
发布时间:2018-12-28 19:25 |
阅读:38375 | 评论:0 |
标签:Android
EviHunter: Identifying Digital Evidence in the Permanent Storage of Android Devices via Static Analysis
作者:Chris Chao-Chun Cheng, Chen Shi, Neil Zhenqiang Gong, Yong Guan
单位:Iowa State University, NIST Center of Excellence in Forensic Science – CSAFE
出处:CCS’18
资料:Paper, Slides, GitHub
ABSTRACT & INTRODUCTION
由于移动网络的发展,智能手机上的数字证据在犯罪调查中发挥着越来越重要的作用。数字证据可以存在于智能手机的内存和文件系统中。虽然内存取证方面有很大的进展,但在针对文件系统的取证仍然比较困难。大多数关于文件系统取证的现有研究依赖于手动分析或基于关键字的静态扫描。手
发布时间:2018-12-21 14:25 |
阅读:41109 | 评论:0 |
标签:Android
使用马尔科夫链进行Android恶意软件检测
如果你和某人聊天,如果他们给你说了一堆“aslkjeklvm,e,zk3l1”你完全听不懂的词语,显然他们是在胡言乱语。但是,在计算机中,你该如何教电脑识别类似的乱码呢?然而更重要的是,我们为什么要为这个问题烦恼?我见过很多安卓恶意软件,其中有很多包含我们不认识的乱码字符串,无论是代码中的文字,还是签名中的类名,等等。我的想法是,如果你可以对乱码进行“量化”,那这些乱码将会是机器学习模型中的一个很好的特征。我已经测试了我的想法,所以在这篇文章中,我将分享我的成果。什么是马尔可夫链?你可以阅读维基百科上的解释,但不是每个人都有时间阅读完这种篇幅很长的解释。简单的说,你用了很多字符串来训练一个马尔科夫链模型。一旦训练好,你
使用FRIDA为Android应用进行脱壳的操作指南
FortiGuard实验室最近遇到了很多加壳Android恶意软件。这类恶意软件一个很有趣的点是,尽管使用的加壳工具是一样的,但生成的恶意软件却常常会发生变化。正因为如此,我们想分享我们在处理分析这类恶意软件时出现的一些问题。
Android系统中通过RSSI广播泄漏敏感数据的漏洞详情披露(CVE-2018-9581)
前言本文所分析的CVE-2018-9581漏洞,和前段时间所分析的CVE-2018-9489和CVE-2018-15835属于同一漏洞系列,这三个漏洞具有相同的发生机理。CVE-2018-9581允许进程间通信,导致信息泄漏。虽然Android系统上的应用程序通常由操作系统彼此隔离,同时各应用与操作系统本身隔离,但在需要时在它们之间仍然存在共享信息的机制,如intent,Android使用两种不同的intent定期广播有关WiFi连接的信息。而CVE-2018-9489能将有关用户设备的信息暴露给设备上运行的所有应用程序,包括WiFi网络名称、BSSID、本机IP地址、DNS服务器信息和MAC地址。它使恶意应用程序得以
Phishing Attacks on Modern Android
出处:CCS 2018
作者:Simone Aonzo, Alessio Merlo, Giulio Tavella, Yanick Fratantonio
原文链接:http://www.s3.eurecom.fr/~yanick/publications/2018_ccs_phishing.pdf
文章概述
安卓系统为了便利性引入了许多新的功能。这篇文章中,作者对现有的四款比较著名的密码管理App以及安卓系统提供的Google Smart Lock(GSL)服务进行了分析,并利用密码管理器(Password Managers, PMs in short)和即时App(Instant App)这两个新功能在设计上的不足针对自动填充密码功能实现了安卓系统上的全新钓鱼攻击。该种攻击方式比现有的钓鱼攻击方式
发布时间:2018-11-20 19:25 |
阅读:54280 | 评论:0 |
标签:Android
Don’t Throw Me Away: Threats Caused by the Abandoned Internet Resources Used by Android Apps
单位:早稻田大学
出处:AsiaCCS’18
资料:Paper
1 INTRODUCTION
现代APP为了提供更丰富的额外功能大多会采用一些网络服务,例如语音识别、天气预报等。这些直接由服务端提供的服务使开发者能偶较为容易地在移动端实现这些功能。但是这些支持移动应用的服务因为存在于服务端,当程序被发布之后,开发人员可能会因为维护成本渐渐地不再维护这些网络资源。本文中,作者对Android移动应用程序的开发者们进行调查,发现78%的开发人员没有定期更新发布的应用程序。还有66%的开发人员不是全职开发人员。因此这些应用程序使用的互联网资源将缺乏维护。而且这些资源的所有权会带来变更:域名或IP信息可能会被重新注册。本文中,作者进行了大规模的调查,通过对110万个应用的分析,作者发现尽管很多应用已
发布时间:2018-11-14 14:25 |
阅读:49924 | 评论:0 |
标签:Android
影响Android多个高权限服务的严重漏洞详情披露(CVE-2018-9411)
媒体框架是安卓系统组件中经常被发现安全漏洞的组件,所以每次谷歌发布月度例行更新时经常会有它的身影。Google最近发现的媒体框架的漏洞是远程代码执行漏洞,攻击者可以制作特定的文件利用特权进程执行任意代码。目前Google已将其命名为CVE-2018-9411,危险等级定位危急,并在7月安全更新(2018-07-01补丁)中对其进行了修补,包括9月安全更新(2018-09-01补丁)中的一些附加补丁。我还为此漏洞编写了一个概念验证利用,演示了如何使用它来从常规非特权应用程序的上下文中提升权限。本文,我将介绍该漏洞和利用此漏洞的技术细节。首先我将介绍与漏洞相关的一些背景信息,然后再详细介绍漏洞本身。在介绍如何利用此漏洞的过
Android/TimpDoor将移动设备变成隐藏的代理
McAfee Mobile Research团队最近发现了一个活跃的使用短信(SMS)进行网络钓鱼的行动,诱使用户下载并安装虚假语音留言应用程序,该程序允许网络犯罪分子在用户不知情的情况下将受感染的设备用作网络代理。如果安装了虚假应用程序,后台服务将启动Socks代理,该代理通过安全shell隧道加密连接重定向来自第三方服务器的所有网络流量——允许潜在访问内部网络并绕过网络安全机制,如防火墙和网络监视器。McAfee Mobile Security将此恶意软件检测为Android / TimpDoor。运行TimpDoor的设备可以作为移动后门,用于秘密访问企业和家庭网络,因为恶意流量和有效载荷是加密的。更糟糕的是,受
在Android APK中嵌入Meterpreter
当今世界,移动电话无处不在。我们日常生活中的许多应用程序正在迁移到云部署,从而使前端技术重新回到瘦客户端的时代。我们的瘦客户端可以是任何东西,从JavaScript浏览器框架到支持移动设备的前端,例如Apple iOS上的Objective-C,或基于Android的Java。Apple继续维持范例,审查所有进入iOS应用程序商店的应用程序。即便如此,仍然存在恶意软件蔓延的情况。与Apple不同,Android市场是一种开放的方式,允许任何人为游戏商店做出贡献,而且占据了移动市场份额的大部分江山。此外,还有各种第三方网站可以直接下载Android应用程序包文件(APK)。Metasploit项目允许测试人员使用功能非常
公告
关注公众号hackdig,学习最新黑客技术