Android libcutils库中整数溢出导致的堆破坏漏洞的发现与利用

作者:龚广(@oldfresher) 阅读本文之前,您最好理解Android中的Binder机制、用于图形系统的BufferQueue原理、堆管理器je_malloc的基本原理。 此文介绍了如何利用libcutils库中的堆破坏漏洞获得system_server权限,此漏洞是研究Android图形子系统时发现的,对应的CVE号为CVE-2015-1474和CVE-2015-1528。 1.漏洞代码…

继续阅读 →

“万蓝”ROM级手机木马分析报告

摘要          今年五月中旬,有用户向360安全中心反馈手机经常自动安装新的游戏应用,经过360互联网安全中心分析排查发现用户中的是一个ROM级别的木马。该木马主要通过获取云端指令进行静默安装推广应用,并可以实现自身升级。木马自身支持多达40个命令类型[附录1],用以辅助实现静默安装推广应用和自身升级。          通过对已有数据和木马网络后台的挖掘查询,发现该木马历史上曾出现的版本…

继续阅读 →

手机锁屏勒索国内首现身

by 张昊          近期,360互联网安全中心截获到了一批伪装成游戏外挂、QQ刷赞、付费破解等类型的恶意软件。一旦用户点击运行,用户手机就会被锁住,即使强制重启也没有用,造成用户手机无法进行任何操作。如果用户想要解锁手机只能联系恶意软件界面上留下的QQ号码并向其进行付费,从而达到勒索用户资金的目的。目前,360手机卫士已经可以全面查杀该类型恶意软件。   一、锁屏原理          …

继续阅读 →

Android APP通用型拒绝服务漏洞分析报告

作者:0xr0ot & Xbalien 0xr0ot和Xbalien交流所有可能导致应用拒绝服务的异常类型时,发现了一处通用的本地拒绝服务漏洞。该通用型本地拒绝服务可以造成大面积的app拒绝服务。 针对序列化对象而出现的拒绝服务主要是由于应用中使用了getSerializableExtra() 的API,由于应用开发者没有对传入的数据做异常判断,恶意应用可以通过传入畸形数据,导致应用本地拒…

继续阅读 →

“长老木马”三代揪出背后“大毒枭”

作者:360Android分析团队     一、冰山一角 近期很多网友的Android手机上“莫名其妙”地出现了“手电筒”、“日历”等应用,并且在没有root的前提下无法卸载。即使获得了root权限卸载了,没过多久又会再次出现。根据360互联网安全中心统计,相关的受感染用户已经超过百万。 二、始作俑者 经过大量的用户配合反馈以及360互联网安全中心细致分析排查后,我们发现始作俑者为“长老木马(Fa…

继续阅读 →

小米手机MIUI远程代码执行漏洞分析

作者:宋申雷       转载请注明出处    http://blogs.360.cn/360mobile/2014/08/25/miui-rce-vul/ 7月我在研究webview漏洞时专门挑小米手机的MIUI测试了下,发现了非常明显的安全漏洞.通过该漏洞可以远程获取本地APP的权限,突破本地漏洞和远程漏洞的界限,使本地app的漏洞远程也能被利用,达到隔山打牛的效果.在漏洞发现的第一时间,我已…

继续阅读 →

launchAnyWhere: Activity组件权限绕过漏洞解析(Google Bug 7699048 )

作者:申迪       转载请注明出处    http://blogs.360.cn/360mobile/2014/08/19/launchanywhere-google-bug-7699048/ 前几天在试用gitx这个软件时偶然看到Google修复了一个漏洞,并记为Google Bug 7699048。这是一个AccountManagerService的漏洞,利用这个漏洞,我们可以任意调起任意…

继续阅读 →

FakeID签名漏洞分析及利用(Google Bug 13678484)

作者:申迪   转载请注明出处: http://blogs.360.cn/360mobile BlueBox于7月30日宣布安卓从2010年以来一直存在一个apk签名问题[1],并且会在今年Blackhat上公布细节。 利用该漏洞可以提升权限,突破沙箱限制。我在细节公开之前对这个漏洞进行成功利用,在此分享一些漏洞利用的细节。 一、关于APK签名 安卓APP在发布之前需要进行签名,签名信息被放在ap…

继续阅读 →

蝗虫手机木马分析报告

作者:陈宏伟、张佳杰   一、主包分析 包名:com.example.xxshenqi 应用名:XX神器 MD5:5956C29CE2E17F49A71AC8526DD9CDE3 主要恶意行为:遍历联系人后群发短信,使恶意木马再次扩散传播;伪造钓鱼页面,诱骗用户注册填写个人信息,导致隐私泄露;安装恶意子包。   权限:     程序入口   点击应用图标启动…

继续阅读 →

长老木马二代FakeDebuggerd.B分析报告

作者:董清、王欢、石浩然   三个月前,我们发现了潜伏手机多年的木马—长老木马(FakeDebuggerd),它通过替换系统文件/system/bin/debuggerd实现开机自启动,并获得Root权限,使得木马作者可以远程控制用户手机,进行篡改浏览器主页、软件推广等恶意行为,详情请参考我们之前的分析报告[1]。 近日,我们又截获了长老木马(FakeDebuggerd)家族的最新变…

继续阅读 →