用户打开安卓手机上的某一应用,这时,恶意软件侦测到用户的这一动作,如果立即弹出一个与该应用类似的界面,拦截了合法的应用,用户几乎无法察觉,该用户接下输入账号、卡密什么的 其实是在恶意软件上进行的,接下来会发生什么就可想而知了。
原理剖析:
1、恶意应用监听了受害者应用的启动操作,然后弹出UI界面覆盖受害者,让用户误以为是目标应用的窗口,进而冒充盗取用户账号密码、卡密等操作
2、另一种情况是此设备系统组件存在漏洞,被恶意应用利用,导致任务堆栈紊乱
防范建议:
1、及时更新android系统,包括系统补丁更新
2、目前,还没有什么专门针对Activity劫持的防护方法,因为,这种攻击是用户层面上的,目前还无法从代码层面上根除。 但是,我们可以适当地在APP中给用户一些警示信息,提示用户其登陆界面以被覆盖,并给出覆盖正常Activity的类名
为了减少误报可以增加对白名单包名、锁屏操作行为、判断当前是否在桌面等来减少误报率
有数据表明,遭遇二次打包的APP就包括支付宝、微信、美团、京东、淘宝等知名应用。APP二次打包的危害涉及到开发者、用户、市场等许多方面,造成开发者权益受损,知识产权被剽窃;用户财产损失、隐私泄露;应用市场体验变差,令人诟病
原理剖析:
1、应用进行签名保护、完整性保护
防范建议:
1、启动时进行签名校验、完整性校验
2、尽可能使用APK加固保护
原理剖析:
通过模拟输入设备或adb调试可以对设备进行自动点击、输入等,然后利用设备对pin输入无重试次数限制的缺陷进行密码爆破
防范建议:
1、Pin输入错误多次后应限制重试时间
2、Pin输入时应该禁用辅助功能、adb调试等特性,对输入设备也应做安全识别
其他的例子:
常见的就是物理外挂、硬件焊接、各种无线电信号的监听(重放)等,比如 王者荣耀物理外挂、switch游戏机 短解破解、破解 汽车 无钥匙进入(无线电录制和重放攻击)
原理剖析:
android系统的开放性,决定了其漏洞发现和利用会相较其他闭源系统更加频繁。 如果设备没有及时更新安全补丁,就有可能面临已知的、公开的系统漏洞攻击。
这个视频展示的就是基于“Android Binder驱动的Use-After-Free漏洞攻击”,并成功root Pixel 2设备(EOP)。 android安全补丁时间低于2019-10-01的设备极大可能性存在此漏洞。
防范建议:
1、及时更新Android系统补丁能有效抵御已知系统漏洞攻击
生活中有很多撸羊毛的例子,基本都是基于业务设计或实施缺陷、逻辑漏洞进行的
原理剖析:
1、产品设计时没有全面考虑到用户习惯以及 异常情况
2、缺乏对异常情况的监控、识别和判断
防范建议:
1、产品设计除了考虑普通用户习性之外,还应考虑对异常情况的防范、识别、处置
2、当异常长期存在,应有报警和处置手段
原理剖析:
1、App未混淆、未加壳,使用逆向工具可以对程序反编译,代码可以高度还原
2、App运行时未进行环境安全检测,相关业务对VIP识别过于简单,使用xposed、frida可以随意修改、调试,进而破解业务收费
防范建议:
1、App需要进行混淆,必要时进行加壳(加固)
2、涉及敏感业务,运行时需要对终端环境进行安全检查 3、业务设计上不要过多依赖设备端安全,尽可能在服务端做业务校验
dex文件反编译工具 dexdump、smali.jar/baksmali、dex2jar等
class字节码反编译工具 jd-gui、jd-cmd、jad等
逆向分析工具 IDA Pro、jdb、gdb、class-dump-z、Clutch、introspy、Cycript等
综合逆向工具 APKTool、Xposed、Frida等
协议抓包工具 Wireshark、 fiddler等
录屏工具https://github.com/MathewSachin/Captura
录屏工具依赖ffmpeg https://github.com/BtbN/FFmpeg-Builds/releases
android设备投屏到电脑 https://github.com/Genymobile/scrcpy/releases
录屏转gif https://github.com/NickeManarin/ScreenToGif
视频剪辑工具 必剪-让创作更有趣
-------------------
以上实例配有视频,如需要,请打赏后私聊~