Android 曝出两个高危漏洞

最新推荐文章于 2024-06-21 22:37:10 发布
最新推荐文章于 2024-06-21 22:37:10 发布
阅读量144 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 移动开发
原文链接:https://yq.aliyun.com/articles/128165
本周Android系统曝出两个高危漏洞,其中一个可通过多种方式利用,另一个则类似于Stagefright,仅通过恶意图像文件即可触发。这两个漏洞影响广泛,部分设备可能无法获得修复。

Android系统本周曝出了两个新的高危漏洞,影响大量设备,很多设备可能永远得不到修复的机会。第一个漏洞是 Google Project Zero安全团队成员Mark Brand披露的,编号CVE 2016-3861,该漏洞允许攻击者执行恶意程序或本地提权。Brand称该漏洞极端危险,因为它可以通过多种方式利用。他同时披露了漏洞利用代码。

第二个漏洞编号CVE-2016-3862,类似Stagefright,能通过发送恶意图像文件利用,其中恶意代码能被隐藏在图像嵌入的Exif数据中。受害者无需任何操作就能遭到入侵。

本文转自d1net(转载)

[车联网安全自学篇] Android安全之Android APP动态调试的三种Smali注入小技巧
橙留香Park的博客
03-18 2724
动态调试是在没有软件源代码的情况下,通过调试程序来跟踪分析汇编代码,查看寄存器的值,了解软件的执行流程,反馈程序执行时的中间结果动态调试一般与静态分析结合使用,尤其是在静态分析难以取得突破时,需要使用动态调试进行辅助分析。通过方法跟踪的方式,对Android SDK开发的Java层程序进行动态调试通过附加进程的方式,对Android NDK开发的原生动态链接库进行调试。
Android手机App安全漏洞
https://github.com/Mac-Zhu
10-22 1250
1.源码安全漏洞 1.1 代码混淆漏洞 当前APK文件的安全性是非常令人堪忧的。APK运行环境依赖的文件/文件夹 res、DEX、主配文件Lib 只有简单的加密或者甚至没有任何加密。诸如apktool这类工具可轻易将其破解,再配合其他例如dex2jar、jd-gui等工具基本可以做到:源码暴露、资源文件暴露、主配文件篡改、核心SO库暴露、暴力破解恶意利用等。因此需要对安卓代码进行代码混淆。 ...
Android 漏洞修复
SophieBryant的博客
12-14 719
1. 隐士 Intent 劫持  如果发现有隐士意图,至于要改为显示即可,启动 Service 时,使用隐士 Intent 启动  bindService(),系统就会报这个异常。   2. 未移除测试代码  打包的时候没有把关于日志打印的 Log关 掉,把相应的关闭即可。   3. activity ,Service BroadcastReceiver 组件暴露  如果组件不需要与...
android 高危漏洞,activity劫持,动态调试及so注入
kingwjh的专栏
10-27 2072
如上图,apk已经用腾讯加固过,但是被检测3个高危漏洞(RN项目) 1、activity劫持: 在MainActivity中: @Override protected void onResume() { AntiHijackingUtils.getinstance().onResume(); super.onResume(); Log.e("生命周期","onResume"); } @Override protected void onPause() { An..
Android解决数据库注入漏洞风险
lintax的专栏
04-06 8296
在app功能开发完成,提交应用市场时,竟然报高风险,有数据库注入漏洞!什么是数据库注入漏洞,又是怎么检测来的,要怎样防止呢?SQL注入漏洞检测方式说明:主要就是检测,是否在query()中使用拼接字符串组成SQL语句的形式去查询数据库,此时容易发生SQL注入攻击。举一个例子:有一个输入用户名的EditText,我们在查询数据库的时候使用到了它,是这么使用的:String sql = "SELEC...
android 防动态调试,Android应用安全与校验之反动态调试
weixin_39894255的博客
05-25 626
是不是有很多初学者认为没有拿到源码就不可以调试Android应用了?不是这样子的。只要通过反编译拿到smali代码工程,再加上smalidea调试神器,分分钟就可以在Android Studio中调试应用。即便核心代码被放到了JNI层,我们也可以使用IDA Pro继续调试,而且实例开发中能放进JNI层实现的核心代码实在有限。为了对抗动态调试,可以考虑在源码中随意穿插相关的检测代码,在检测到动态调试...
Android签名漏洞
Crystal_lpx的专栏
01-09 1139
Android证书签名漏洞,是指攻击者可以在不改变原APK的签名情况下修改APK的代码,从而绕过Android的签名认证安全机制。通过植入恶意代码的到仿冒的App中,就可替代原有的App做下载、更新。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。
一波未平一波又起,VMware发现一高危漏洞
qq_43529978的博客
12-20 4910
因Apache Log4j 2的漏洞让VMware的客户们度过了非常忙碌的一周,全球近一半企业受到影响,据知名网络安全解决方案提供商 Check Point 旗下的威胁情报部门提供的报道称,Apache Log4j 2 漏洞或将长存。这也就意味着VMware的客户们还要继续应对黑客利用Apache Log4j 2 漏洞的恶意攻击。 然而一波未平,一波又起。据VMware发布的漏洞安全报告中显示,VMware在17日虽然修复了自10日以来涉及51个产品的漏洞,但是依旧不能保证能彻底解决因Apache Log
NFC竟也存在高危漏洞?看他如何分析(CVE-2021-0870)
Moyun_vackbot的博客
01-21 4310
概述 NFC在人们的日常生活中扮演了重要角色,已经成为移动设备不可或缺的组件,NFC和蓝牙类似,都是利用无线射频技术来实现设备之间的通信。因此芯片固件和主机NFC子系统都是远程代码执行(RCE)攻击的目标。 CVE-2021-0870是一枚NFC中的RCE高危漏洞,2021年10月漏洞通告中显示已被修复https://source.android.com/security/bulletin/2021-10-01。漏洞成因是RW_SetActivatedTagType 可以通过将NFC的TCB(tag c
Android 如何反动态调试
09-23
Android 如何动态调试进行检查 最近项目在进行三方安全报告中一直存在很多动态调试检测的高危漏洞。经过多次研究及测试,也参考了网上不少的示例,集大家精髓所成,测试在Android studio 3.0以上,可以使用的示例代码,希望可以帮助到大家。
Android安卓安全加固反调试检测手段(java层+native层)(附代码实现).pdf
11-25
本文档实现了java层和native层的反调试手段 对于学习Android安卓逆向和安全的人来说有非常大的借鉴意义 里面附有详细的实现代码
【错误记录】Android 应用漏洞修复处理 ( 动态反调试漏洞 | 调用 Debug.isDebuggerConnected 函数查询是否被动态调试 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
06-21 1475
一、动态调试攻击 二、Frida、Xposed 动态调试攻击应对措施 三、调用 Debug.isDebuggerConnected 函数查询是否被动态调试
Android防止被动态调试的解决方法
kingwjh的专栏
10-27 4346
1、判断要是BuildConfig.DEBUG为false,但AndroidManifest却声明为debuggable,可认为是被动态调试调试状态,强制退 2、定时轮询,判断在BuildConfig.DEBUG为false时,是否有调试器连接,如果有,可认为是被动态调试调试状态,强制退 3、定时轮询,判断在BuildConfig.DEBUG为false时,是否被其他进程用Ptrace方式跟踪,如果有,可认为是被动态调试调试状态,强制退 public class DebuggerUtils {
android防止注入
七里枫香的专栏
12-18 4005
注入的方式有2种。1:静态注入  2:动态注入。。。静态注入比较经典的案例就是 二次打包了。。比如说 登陆注册的输入框里面注入钩子,盗取账号密码。。。。动态注入的经典例子就是 内存修改器比如说八门神奇。。。。  防止静态注入 就得防止二次打包了。。防止二次打包的方式很多的。。。防止内存修改就得编码的时候注意了,比如说:关键变量(当前分数,当前时间,当前血量,当前等级 等等) 写两份,一份加密的
Android WebView的Js对象注入漏洞解决方案
2401_84093310的博客
04-06 798
资料过多,篇幅有限,需要文中全部资料可以点击这里获取前端面试资料PDF完整版!自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。**[外链图片转存中…(img-VnbaMI3h-1712396379154)][外链图片转存中…(img-CmlQbwcX-1712396379154)]既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上前端开发知识点,真正体系化!
最全Android安全检测漏洞解决方案
热门推荐
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android中大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
[免费专栏] Android安全之Android APP动态调试的三种Smali注入小技巧
橙留香Park的博客
08-08 1659
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...
asm-tree-5.1 漏洞
最新发布
08-20
根据 ASM 官方安全公告和历史漏洞记录,**asm-tree-5.1 存在两个高危漏洞**,与核心 ASM 5.1 组件共享相同风险(因 asm-tree 是 ASM 的树形 API 模块): --- #### 1. 关键漏洞详情 **CVE-2017-4936**(CVSS 7.5...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值