Android 悬浮窗覆盖攻击Android安全点击劫持Tapjacking,是一种欺骗用户进行点击的攻击技术,可存在于任何操作系统和浏览器之中,尽管原理简单,对于普通用户危害却极大,是一种容易忽视的安全威胁。Android中的点击劫持原理如图1所示,当出现重要的、需要进行用户确认的安全对话框时,申请悬浮窗权限的恶意APP在受害APP之上进行部分覆盖,显示一个虚假的界面,隐藏了与安全相关的重要提示信息,但并未覆盖正常APP原有的按钮,诱骗用户进行错误地点击操作,点击事件结果最终传递到受害APP,造成严重的安全后果。2024-9-11 Android 悬浮窗覆盖攻击
CVE-2024-31317 Zygote命令注入提权system分析Android安全需要密码添加微信:LLeavesG 编号CVE-2024-31317,该漏洞允许拥有WRITE_SECURE_SETTINGS权限的攻击者(该权限由ADB shell和某些特权应用持有)以任意应用的身份执行任意代码。通过这种方式,攻击者可以读取和写入任何应用的数据,更改大多数系统配置,取消注册或绕过移动设备管理等。这个漏洞的利用不涉及内存的破坏,这意味着它可以在几乎任何运行Android 9或更高版本的设备上不加修改地工作,并且在重启后仍然有效。2024-8-22 AndroidPwn Android SELinux CVE
⚔️Uprobe及其对抗Android安全原文:https://blog.quarkslab.com/defeating-ebpf-uprobe-monitoring.html Uprobes(用户空间探针)是Linux内核的一个特性,它允许在任何用户空间程序的任何指令上设置钩子(hook)。文章介绍uprobe实现及其对抗手段2024-7-12 Android eBPF
Android Data Encryption-从百草园Patch到三味书屋Android安全Android Data Encryption完整攻击复现2024-7-10 Android FBE Magisk
CVE-2024-0044 Bypassing the "run-as" debuggability checkAndroid安全CVE-2024-0044 Bypassing the "run-as" debuggability check2024-6-12 Android AndroidPwn
bpf_probe_write_user补丁添加对只读内存的修改Android安全因为bpf_probe_write_user 只能对可写的用户内存页面进行修改,而对只读内存则无法进行修改,例如rodata以及text 段的内容。本文对bpf_probe_write_user 打补丁,以支持此功能,以应对日益强大的对抗2024-5-28 eBPF Android
eBPF实践之修改bpf_probe_write_user以对抗某加固Frida检测Android安全本文需要密码,无偿阅读请微信LLeavesG联系作者获取。BPF 的 bpf_probe_write_user 功能十分强大,它可以修改用户空间的内存,可以用于进程隐藏或者绕过环境检测等操作,本文为bpf_probe_write_user 添加修改只读内存的功能,以对抗360加固企业版Frida检测。2024-5-28 eBPF Android Frida
Android eBPF Syscall包装器问题小记Android安全在使用BCC与python结合对Android的openat syscall进行追踪时发现一个很有趣的问题,在此记录 首先是BCC文档中给出如何trace syscall 的教程,这里提到必须要syscall__为前缀,很好奇为什么必须要这个前缀,于是开始进行测试。2024-5-17 eBPF Android BCC
ByteDance-AppShark静态分析工具Android安全在前期对App进行漏洞挖掘的过程中发现,以纯人工的方式去逆向某些App并且发现其中的漏洞已经不太现实,主要有以下几点原因: • Android系统体系十分庞大,App代码量巨大,存在超大型App(抖音目前已经有150万个函数),人工分析极度不现实 • 对Android静态分析精力耗费巨大,自动化静态分析完全可以简化大量重复的工作。 Appshark 是一个针对安卓的静态分析工具,它的设计目标是针对超大型App的分析(抖音目前已经有150万个函数). Appshark支持众多特性: • 基于json的自定义扫描规则,发现自己关心的安全漏洞以及隐私合规问题 • 灵活配置,可以在准确率以及扫描时间空间之间寻求平衡 • 支持自定义扩展规则,根据自己的业务需要,进行定制分析2024-5-12 静态分析 AndroidPwn Android
Android-DirtyStream 漏洞详细说明Android安全Android 操作系统通过为每个应用程序分配自己的专用数据和内存空间来强制隔离。为了促进数据和文件共享,Android 提供了一个称为Content Provider的组件,它充当一个接口,用于以安全的方式管理数据并将数据公开给其他已安装的应用程序。如果使用得当,内容提供商可以提供可靠的解决方案。但是,实施不当可能会引入漏洞,从而绕过应用程序主目录中的读/写限制。2024-5-5 DirtyStream AndroidPwn ContentProvider