360移动安全团队最近披露了一个重要的安全发现:他们追踪到全球首款专用于网络电信诈骗的Android木马,标志着这类犯罪进入了跨平台时代。这款木马伪装成“公安部案件查询系统”,集成了令人警惕的技术组合。 文章核心对比了传统PC诈骗与新型移动诈骗的差异。在传统模式中,诈骗成功的关键在于诱导用户主动完成转账,因此用户尚有感知。而移动场景的威胁则隐蔽得多:木马能在用户完全不知情的情况下,通过拦截短信验证码等方式,远程完成资金划转。作者详细拆解了移动诈骗的六个典型步骤,直观展示了从诱骗安装、窃取信息到无声转账的全过程。 除了功能升级,文章还揭示了诈骗产业的组织化。团伙分工明确,有专门的制马人负责开发,诈骗者则分层级实施。木马技术本身也颇具分析价值,它滥用了一些正规的第三方SDK,并具备了钓鱼、远控、短信监控、自我保护等全方位的能力。 最终,这份分析不仅揭示了一款具体的恶意软件,更指出了一个严峻趋势:Android木马正成为网络犯罪的强大赋能工具,并持续向更多传统犯罪领域渗透。对于安全从业者和普通用户而言,这意味着需要持续警惕移动设备面临的新形态威胁。
文章从研究Android图形子系统时发现的一个整数溢出漏洞讲起,这个漏洞存在于libcutils库的native_handle_create函数中。作者龚广(@oldfresher)揭示了,当传入精心构造的numFds和numInts参数时,会导致堆内存分配大小计算溢出,进而引发堆破坏。具体来说,这个漏洞可通过Android图形系统的Binder接口(如IGraphicProducer的setSidebandStream)被低权限进程跨进程触发。 更巧妙的是,作者构建了一条清晰的提权路径:从普通应用出发,必须按顺序依次注入mediaserver、surfaceflinger,最终目标是获得system_server的“半神”权限。摘要中点明了这一“三步走”策略的必要性——每一步获取的权限是攻击下一步的门票。文中还提及了攻击过程需克服的ASLR、SELinux以及je_malloc堆管理器等现实障碍,并以mediaserver注入为例,详细拆解了从控制Binder服务线程到最终代码注入的五个步骤。整篇文章不仅定位了漏洞根源,更完整呈现了从漏洞发现到实现高权限提权的复杂工程化利用全貌。
这篇技术分析深入探讨了WebView中的跨源安全问题。作者从浏览器最核心的同源策略(SOP)讲起,通过清晰的表格对比了不同URL是否同源,为后续分析打下基础。 文章重点剖析了Android WebView中与`file://`协议相关的几个关键API配置:`setAllowFileAccess`、`setAllowFileAccessFromFileURLs`和`setAllowUniversalAccessFromFileURLs`。作者通过代码示例和机制解释,揭示了当这些开关设置不当时,恶意网页如何利用`file://`协议绕过同源策略,读取应用沙箱内的任意文件,造成严重的安全风险。文中还提到了不同浏览器对`file://`协议处理的差异,增加了讨论的深度。 对于从事移动端开发或安全研究的读者来说,这篇文章清晰地梳理了WebView配置中那些看似平常却可能致命的开关。理解这些细节,是构建安全WebView应用的基础。
这篇讲的是WebView安全中一个核心但常被忽视的问题:同源策略在本地文件场景下的边界。 作者龚广从浏览器同源策略的基本原理讲起,用一个清晰的对比表格说明了协议、域名、端口三要素如何共同决定URL的同源性,比如“http://www.360.cn:8088”因端口不同就与基准URL非同源。文章的核心深入到了file协议这个特殊领域:当JavaScript通过http页面加载时,file协议通常被视为非同源以阻止读取本地文件;但当JS本身通过file协议加载时,不同浏览器的处理策略则存在显著差异,这为攻击留下了可能的缝隙。 具体到Android WebView,文章通过示例代码展示了四个关键API设置——从是否允许加载file URL,到是否允许file URL中的JS进行跨域访问。这些配置如同一组开关,开错一个就可能让应用暴露在风险中。文章没有停留在理论,而是将同源策略的复杂边界与移动开发的具体实践结合,揭示了WebView安全配置中那些看似细微、却至关重要的决策点。
这篇讲的是作者如何提前深入分析了一个影响安卓多年的签名漏洞(Google Bug 13678484)。在BlueBox于Blackhat大会前夕披露该漏洞后,作者随即进行了复现与利用研究。 文章的核心在于剖析漏洞的根因:安卓系统在校验APK签名证书链时存在缺陷,未能严格验证所有证书的合法性。攻击者可利用这一点,构造包含伪造根证书的恶意签名。尽管APK本身的完整性校验不会被破坏,但系统中依赖证书来验证身份(如WebKit插件认证)的机制会被欺骗。 作者通过具体的攻击场景演示了危害:成功将自研APK伪装成Adobe Flash Player插件,注入到其他应用的WebView中。更进一步,文章指出单纯注入还不够,需遵循插件开发规范(如导出特定Native接口)才能在对方进程内触发代码执行,从而真正突破沙箱限制。 这篇文章的价值在于,它不仅揭示了一个长期存在的底层安全问题,还完整地展示了从原理分析到漏洞利用的技术路径,对理解安卓签名机制的安全边界很有启发。
这篇讲的是一个影响安卓2.3至4.3版本的权限绕过漏洞——“launchAnyWhere”。作者从AccountManagerService的工作机制切入,揭示了一个严重的设计问题:当应用请求添加账户时,系统服务会调起认证应用并转发一个Intent,但这个Intent的内容完全由认证应用控制。如果请求方是系统应用(如“设置”),它就会在用户不知情的情况下,执行攻击者精心构造的Intent,从而启动任意未导出的Activity。 漏洞的巧妙之处在于其利用链非常简洁:攻击者通过特定Intent调起“设置”中的AddAccountSettings,就能让系统自动完成从触发到启动目标组件的全过程。文章列举了几个危害场景,例如绕过验证直接重置手机PIN码,或利用未导出的WebView加载恶意页面。这本质上是一个权限委托的信任链被恶意劫持的案例。 对于移动安全研究者而言,这篇文章清晰地展示了如何从一个合法的系统服务接口中,挖掘出突破进程隔离限制的攻击面。它提醒开发者,即使是系统服务的“便利”设计,也可能在无意中成为危险的权限提升通道。
