Lazy loaded imageSystemUI As EvilPiP

之前对Android 悬浮窗覆盖攻击(也属于Activity Hijack Attack(AHA)的一种)有了一个简单的了解,但是其利用较为困难,通常需要申请悬浮窗权限,并且并不是一个完整的攻击链条。 看到BlackHat2024的议题**SystemUI As EvilPiP: The Hijacking Attacks on Modern Mobile Devices**后决定沿着这条路继续学习,因此之后的内容大部分内容引用与改议题和参考1 中奇安信的报告。除此之外,在Bypass BAL一节中引入对新爆出画中画漏洞CVE-2024-34737 的说明。

Lazy loaded imageAndroid 悬浮窗覆盖攻击

点击劫持Tapjacking,是一种欺骗用户进行点击的攻击技术,可存在于任何操作系统和浏览器之中,尽管原理简单,对于普通用户危害却极大,是一种容易忽视的安全威胁。Android中的点击劫持原理如图1所示,当出现重要的、需要进行用户确认的安全对话框时,申请悬浮窗权限的恶意APP在受害APP之上进行部分覆盖,显示一个虚假的界面,隐藏了与安全相关的重要提示信息,但并未覆盖正常APP原有的按钮,诱骗用户进行错误地点击操作,点击事件结果最终传递到受害APP,造成严重的安全后果。

Lazy loaded imageCVE-2024-31317 Zygote命令注入提权system分析

编号CVE-2024-31317,该漏洞允许拥有WRITE_SECURE_SETTINGS权限的攻击者(该权限由ADB shell和某些特权应用持有)以任意应用的身份执行任意代码。通过这种方式,攻击者可以读取和写入任何应用的数据,更改大多数系统配置,取消注册或绕过移动设备管理等。这个漏洞的利用不涉及内存的破坏,这意味着它可以在几乎任何运行Android 9或更高版本的设备上不加修改地工作,并且在重启后仍然有效。

⚔️Uprobe及其对抗

原文:https://blog.quarkslab.com/defeating-ebpf-uprobe-monitoring.html Uprobes(用户空间探针)是Linux内核的一个特性,它允许在任何用户空间程序的任何指令上设置钩子(hook)。文章介绍uprobe实现及其对抗手段

Lazy loaded imageeBPF实践之修改bpf_probe_write_user以对抗某加固Frida检测

本文需要密码,无偿阅读请微信LLeavesG联系作者获取。BPF 的 bpf_probe_write_user 功能十分强大,它可以修改用户空间的内存,可以用于进程隐藏或者绕过环境检测等操作,本文为bpf_probe_write_user 添加修改只读内存的功能,以对抗360加固企业版Frida检测。
LLeaves
LLeaves
Happy Hacking
最新发布
PendingIntent-security
2024-12-1
Android grantUriPermission与StartAnyWhere
2024-11-30
eBPF实践之修改bpf_probe_write_user以对抗某加固Frida检测
2024-11-10
CVE-2024-31317 Zygote命令注入提权system分析
2024-11-10
CVE-2024-0044 Bypassing the "run-as" debuggability check
2024-10-31
Frida Interceptor Hook实现原理图
2024-10-29
公告