记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华Automatic Hot Patch Generation for Android Kernels
作者:Zhengzi Xu, Yulong Zhang, Longri Zheng, Liangzhao Xia, Chenfu Bao, Zhi Wang, and Yang Liu
单位:Nanyang Technological University, Baidu X-Lab, and Florida State University
出处:USENIX Security ‘20
原文:Automatic Hot Patch Generation for Android Kernels
Abstract
随着Android生态的飞速发展,其碎片化的问题也变得越来越严重,大量经过定制的Android系统在市面上涌现。然而,Android供应商往往难以及时修复他们定制的Andro
发布时间:2020-03-31 16:05 |
阅读:1490 | 评论:0 |
标签:Android
Studying TLS Usage in Android Apps
作者(单位):Abbas Razaghpanah(Stony Brook University); Arian Akhavan Niaki(Stony Brook University);Narseo Vallina-Rodriguez(IMDEA Networks / ICSI);Srikanth Sundaresan(Princeton University);Johanna Amann(ICSI);Phillipa Gill(U. Massachusetts ś Amherst)
出处:CoNEXT’17
链接:paper
1 INTRODUCTION
在本文中,作者提出了关于Android应用程序如何在野外使用TLS的首次全面而大规模的研究。 作者从Lumen Privacy Monitor获取
Android https过反抓包的一些总结
大家在分析app的协议时,经常会遇到一些app存在反抓包,增加逆向难度。下面小弟我就分情况讨论一下如何解决反抓包问题。 情况1:抓包工具无法抓到包,但app可以正常联网使用可能原因:app内部使用的非http协议,可能是websocket或是tcp协议(qq,微信,百度贴吧等)解决方案:对于这种情况,只能逆向app进一步去分析底层的二进制协议,暂无其他方法可能原因:app内部设置了http协议不走代理流量(支付宝,美团等)解决方案:可以使用一些第三方代理app(如Drony),通过使用vpn,来强制app的http协议走代理流量,从而实现抓包。但如果是需要翻墙的app,则该方法无效,因为翻墙本身需要海外vpn连接,无法再去使用这些代理软件来开启另一个vpn。 情况
发布时间:2020-03-25 17:59 |
阅读:4414 | 评论:0 |
标签:Android
Google高级保护计划向第三方Android应用商店说不
近日,据外媒报道Google正在扩大其高级保护计划(APP)的防护范围(功能),该安全性服务可帮助保护“高危人群”(例如政治人物、记者、活动家、商业领袖等)的Google帐户免遭针对性攻击。APP项目通过限制对数据的访问、阻止欺诈性帐户访问、支持物理安全密钥的使用以及最新添加的恶意软件防护功能,为这些帐户提供更高级别的保护。谷歌宣布那些已经注册了“高级保护计划”的用户将自动启用Google Play保护,并且将无法关闭。Google指出,该功能目前每天用于扫描和验证1000亿个应用。该系统使用机器学习来自动扫描用户的设备和应用程序,以检查有害行为和潜在的安全问题。中国Android用户需要特别关注的是,谷歌的“高级保护计划”还将限制用户从Play商店外部安装应用的能力。Google认为非Play应用商店的用户面
如何使用Frida绕过Android网络安全配置
写在前面的话
在这篇文章中,我们将演示如何利用Frida脚本来绕过Android的网络安全配置,这是一种绕过网络安全配置的新技术。除此之外,我们还将演示如何在其他场景来测试该脚本,并分析脚本的运行机制。
在之前的一次Android应用程序安全审计过程中,首先我们要做的就是准备渗透测试的环境,并配置应用程序来绕过网络安全配置。由于我个人比较喜欢Frida,因此它也就成为了我的首选工具。
当时我下载了两到三个脚本,但是当我在Android 7.1.0中运行脚本时,没有一个可以成功的。这也就是为什么我想研究网络安全配置的运行机制,并且如何用Frida绕过它们。
我所做的第一件事就是生成不同的测试用例,我尝试选择了几款比较常见的:
1、OKHttp
2、HttpsURLConnection
3、WebView
接下
McAfee 新发现了一种可以在应用商店中生成虚假用户评论的全新恶意软件——Android/LeifAccess.A
McAfee Mobile Research团队已经确定了一个名为Android/LeifAccess.A的Android恶意软件家族,该家族自2019年5月以来一直处于活动状态。目前,该木马已在全球范围内被本地化,但在美国和巴西的流行率更高。作为有效载荷的一部分,该木马可以滥用OAuth,利用辅助功能(AccessibilityService)在多个第三方应用中以受害者的合法电子邮件的名义自动创建帐户。使用相同的方法,它可以在Google Play商店上创建虚假评论,以操纵应用排名,执行广告欺诈(点击功能),更新自身并执行任意远程代码等功能。根据最新的调查,许多受到虚假评论影响的目标应用程序还在Google Play上。目前,这个恶意软件还没有在
发布时间:2020-03-06 14:52 |
阅读:12343 | 评论:0 |
标签:Android
【胖猴小玩闹】智能门锁与BLE设备安全Part 1:BLE协议栈与Android BLE接口简介
1、概述最近受疫情影响,已经在家办公了很长一段时间,正好借此机会把此前的工作进行了一番整理,并挑选出来了一部分可以公开的题材,最终形成了这个专题的文章。在我们的计划中,这个专题有两个主线,分别是:a. BLE设备安全研究b. 智能门锁的安全研究其中,智能门锁是我们的主要研究目标,但由于很多智能门锁在蓝牙BLE这块的设计或多或少地有些小问题,所以我们就将一些BLE设备也单独拿出来,作为另一个线索,用以帮助专题内容的展开叙述。这个系列,我们取名为《胖猴小玩闹》,因为在整个专题中出现的各种案例或者已经修复,或者危害程度不高,所以我们将这些无伤大雅的小打小闹统一称为“小玩闹”。作为这个专题的第一篇文章,我们将这篇中简要叙述一下BLE协议
发布时间:2020-03-05 12:21 |
阅读:7029 | 评论:0 |
标签:Android
扩大Android攻击面:React Native Android应用程序分析
React Native是一款移动端应用程序框架,由于该框架允许开发人员使用React和原生平台功能,目前有很多Android和iOS应用程序都是基于该框架进行开发的。
在进行常规的侦察时,我们通常会将注意力放在尽可能地扩大攻击面上。因此我们需要深入研究各种针对移动平台开发的应用程序,以便找到更多的API或其他有意思的东西,比如说API密钥之类的敏感信息。
在这篇文章中,我们将介绍如何根据APK文件来获取到React Native JavaScript,并根据这些信息分析出API以及其他敏感信息。
一般来说,在对Android应用程序进行逆向分析时,我们需要使用dex2jar来对APK文件进行反编译,然后使用JD-GUI来进行下一步分析。那么在处理React Native应用程序时,如果应用程序拥有原生代码的
2019年Android恶意软件专题报告:未来移动安全呈现四大趋势
在过去的2019年中,日趋成熟的移动互联网技术不仅改变了无数用户的生活方式,也为各行各业的变革与繁荣提供了先决条件。然而,当我们享受技术进步带来多元体验的同时,也要时刻警惕其背后隐藏的安全隐患。近日,360安全大脑发布的《2019年Android恶意软件专题报告》显示,2019年全年,360安全大脑共截获移动端新增恶意软件样本约180.9万个,各类层出不穷的恶意软件,时刻威胁着每一个用户的切身利益,不同行业领域的正常发展,甚至影响到国家的安全建设。 春节前后恶意软件扎堆 资费消耗坑惨安卓机友从2019 年全年恶意样本增长情况中不难发现,1月与12月出现新增样本峰值,其余月份新增样本趋势较为平稳。这可能是由于在春节假期前后,棋牌游戏、抢红包等大众社交娱乐活动显著
Obfuscapk:一款针对Android应用程序的黑盒混淆工具
Obfuscapk是一款模块化的Python工具,它可以帮助研究人员在无需应用程序源代码的情况下对Android App进行混淆处理。Obfuscapk使用了apktool来对原始APK文件进行反编译,并构建出一个新的应用程序,最后再对反编译的smali代码、资源文件和Manifest文件应用混淆处理技术。混淆后的应用回保留原有的函数功能,但不同之处就在于,混淆后的应用源码会跟初始的应用源码有很大的区别。
工具架构
Obfuscapk基于模块化结构实现,以便进行功能扩展,而且还集成了一套插件系统。在Obfuscapk中,每一个混淆器都属于一个插件,并且都继承了一个抽象的基类,它们都需要实现obfuscate方法。当工具开始处理一个新的Android应用文件时,它回创建一个混淆对象来存储所有需
微软:Linux Defender防病毒软件现已公开预览,下一个是iOS和Android
微软已经发布了针对Linux的Microsoft Defender高级威胁防护(ATP)防病毒软件的公开预览版。在Microsoft 去年增加了对macOS的支持并将其名称从Windows Defender ATP更改后,新的Defender Linux端点保护在桌面上完善了Microsoft Defender ATP。接下来,Microsoft希望增加对移动设备的支持,将Microsoft Defender引入iOS和Android,并将在本周的RSA Conference上进行预览。微软威胁防护公司副总裁Gindi告诉ZDNet:“我们的目标是在无论是Microsoft还是非Microsoft的所有方面保护现代工作场所环境。我们正在保护Mac上的端点,今天,
Google Play恶意软件分析
最近在Google Play上发现了多个恶意应用程序(由Trend Micro检测为AndroidOS_BadBooster.HRX),它们能够访问远程恶意广告配置服务器、进行广告欺诈并下载多达3000多个恶意软件变体或恶意负载。这些恶意应用程序通过清理、组织和删除文件来提高设备性能,已被下载超过47万次。该攻击活动自2017年以来一直很活跃,Google Play已经从商店中删除了恶意应用程序。
根据分析,3000个恶意软件变体或恶意有效负载会下载到设备上,伪装成设备启动程序或程序列表上不显示图标的系统程序。攻击者可以使用受影响的设备发表有利于恶意应用的虚假评论,并通过点击弹出的广告来进行广告欺诈。
技术分析
攻击活动中名为Speed Clean的程序具有提升移动设备性能的功能。使用时应用程序会弹出广告,看
Android UPX脱壳
写在前面因为我不是pc平台过来的,而是直接从Android入门的,所以upx壳其实一开始并不了解,后来接触到,但是可以直接动态调试或者做个内存快照,对我来说加没加upx其实对我逆向分析影响不大。另一方面upx壳因为开源且其实有很多脱壳的教程,所以一直觉得有些过时、保护力度不足,似乎不值得花太多时间再去深入。但是有些公司的面试官不这么觉得,似乎对于他来说,你说会写vmp但是不了解upx脱壳修复很可笑,所以趁着假期把这个坑补上。基于快速解决问题的原则,搜了一些upx脱壳的文章,大概可以分为两类。1:是基于你熟悉upx源码的情况下,梳理出逻辑和数据结构,dump修复等。2:是基于经验、特征,直接定位特征代码,断点、dump修复等。对于1是我想要的,但是大概看了下upx
发布时间:2020-02-18 11:33 |
阅读:7645 | 评论:0 |
标签:Android
【安全帮】Android 恶意软件 xHelper 的删除方法
全球高级持续性威胁 (APT) 2019年报告奇安信威胁情报中心发布全球高级持续性威胁(APT)2019年报告,报告围绕地缘特征总结了全球6大地区总共22个APT组织在近一年的攻击活动情况以及使用的主要攻击工具。报告下载地址:https://ti.qianxin.com/uploads/2020/02/13/cb78386a082f465f259b37dae5df4884.pdf参考来源:https://www.secrss.com/articles/17160 英国ICO发布“保护儿童网络隐私的实践守则”2020年1月21日,英国信息专员办公室(ICO)发布了《网络服务适龄设计
发布时间:2020-02-18 11:23 |
阅读:14898 | 评论:0 |
标签:Android
Android 蓝牙子系统 "BlueFrag" 漏洞分析(CVE-2020-0022)
作者:启明星辰ADLab 公众号:https://mp.weixin.qq.com/s/MgttHkorVd5UrW1Cnlc5Xw一、漏洞背景2020年2月,Android安全公告中披露并修复了一个严重漏洞,漏洞编号为CVE-2020-0022,又称BlueFrag,可影响Android蓝牙子系统。该漏洞是一个远程代码执行漏洞,出现在Bluedroid蓝牙协议栈的HCI层,当无线模块处于活动状态时,攻击者可以利用蓝牙守护程序提升权限进而在设备上执行代码。该漏洞影响Android Oreo(8.0和8.1)、Pie(9),但无法在Android 10上进行利用,仅能触发DoS攻击。二、协议简介2.1 HCIHCI 层位于蓝牙协议栈高层协议和低层协议之间,提供了对基带控制器和链路管理器的命
GDA:一款基于C++的新型Android逆向分析工具
GDA(GJoy Dex Analysizer)
GDA是一款完全基于C++开发的新型反编译工具,因此该工具并不仅依赖于Java平台。该工具使用起来非常方便,而且运行速度非常快,支持APK、DEX、OBED和oat等文件格式。
实际上,GDA是一款新型的Dalvik字节码反编译工具。该工具是完全独立的,并且运行非常稳定,并且能够在没有安装Java VM的环境下运行。GDA的大小只有2MB,我们可以直接在任何新安装的Windows操作系统或虚拟机系统中使用该工具,无需进行额外配置。此外,GDA还有以下更加出色的功能:
功能介绍
交互式操作
1、字符串、类、方法和域的交叉引用;
2、搜索字符串、类方法和域;
3、Java代码注释;
4、方法、域、类的重命名;
5、将分析结果存储至GDA数据库文件中;
辅助分析
公告
九层之台,起于累土;黑客之术,始于阅读