传统网络电信诈骗的过程中，诈骗者必需诱导受害人完成转账；而移动场景下，诈骗者仅依靠植入用户手机的Android木马，就能在受害人不知情的情况下完成远程转账。 Android木马为网络电信诈骗增加了丰富的攻击方法，包括隐私窃取、短信拦截、远程控制和钓鱼等。   传统网络电信诈骗工具包括Web钓鱼网站、PC受控端和后台服务器，诈骗者利用这组工具窃取用户银行账户信息、监控用户PC并诱导用户完成转账。  传统网络诈骗的过程中，诈骗者能够成功诱导用户转账是诈骗成功的关键，因而用户感知度比较高。  

    阅读本文之前，您最好理解Android中的Binder机制、用于图形系统的BufferQueue原理、堆管理器je_malloc的基本原理。 此文介绍了如何利用libcutils库中的堆破坏漏洞获得system_server权限，此漏洞是研究Android图形子系统时发现的,对应的CVE号为CVE-2015-1474和CVE-2015-1528。

    同源策略是浏览器最重要的一种安全机制，由Netscape于1995年最先提出，现在的主流浏览器都遵循这种策略[1]。同源一般指协议，域名，端口都相同，但IE浏览器会忽略对端口的判断。

    同源策略是浏览器最重要的一种安全机制，由Netscape于1995年最先提出，现在的主流浏览器都遵循这种策略[1]。同源一般指协议，域名，端口都相同，但IE浏览器会忽略对端口的判断。

    BlueBox于2014年7月30日宣布安卓从2010年以来一直存在一个apk签名问题[1]，并且会在今年Blackhat上公布细节。 利用该漏洞可以提升权限，突破沙箱限制。我在细节公开之前对这个漏洞进行成功利用，在此分享一些漏洞利用的细节。

    前几天在试用gitx这个软件时偶然看到Google修复了一个漏洞，并记为Google Bug 7699048。这是一个AccountManagerService的漏洞，利用这个漏洞，我们可以任意调起任意未导出的Activity，突破进程间组件访问隔离的限制。这个漏洞影响2.3 ~ 4.3的安卓系统。 一．关于AccountManagerService AccountManagerService同样也是系统服务之一，暴露给开发者的的接口是AccountManager。该服务用于管理用户各种网络账号。这使得一些应用可以获取用户网络账号的token，并且使用token调用一些网络服务。