by superhei 2013/09/06 [注:本文提到的都是我个人的观点,该行为也是私人行为,与任何组织.公司无关.另:水军请自重!] 一.前言   这两天,一个2+年前的android webview的nday就像一面“照妖镜”一样,直接暴露了很多个人和公司的节操... 二.流程 有白帽子在8月29日开始提交各种android平台上的“远程命令执行”漏洞,隐隐感觉到这是一种通用漏洞类型,通过联系并请教得到这类漏洞的技术细节.该漏洞 是android中webview组件里的addJavas…

一.漏洞描述 近期,微信等多款安卓流行应用曝出高危挂马漏洞:只要点击好友消息或朋友圈中的一条网址,手机就会自动执行黑客指令,出现被安装恶意扣费软件.向好友 发送欺诈短信.通讯录和短信被窃取等严重后果.在乌云漏洞平台上,包括安卓版微信.QQ.腾讯微博.QQ浏览器.快播.百度浏览器.金山浏览器等大批应用 均被曝光同类型漏洞. 二.影响版本 Android系统版本低于4.2 三.漏洞原理 漏洞点:WebView.addJavascriptInterface(Object obj, String int…

原文链接:http://www.cnblogs.com/goodhacker/p/3343837.html 一.漏洞描述 近期,微信等多款安卓流行应用曝出高危挂马漏洞:只要点击好友消息或朋友圈中的一条网址,手机就会自动执行黑客指令,出现被安装恶意扣费软件.向好友 发送欺诈短信.通讯录和短信被窃取等严重后果.在乌云漏洞平台上,包括安卓版微信.QQ.腾讯微博.QQ浏览器.快播.百度浏览器.金山浏览器等大批应用 均被曝光同类型漏洞. 二.影响版本 Android系统版本低于4.2 三.漏洞原理 漏洞点…

一.移动应用APP可能面临以下威胁: 木马--二次打包, 病毒--账号窃取, 篡改--资源篡改, 破解--广告植入, 钓鱼--信息劫持  二.移动终端APP安全评估的7个方向: 通信安全,敏感信息安全,认证鉴权,能力调用,资源访问,反逆向,键盘输入  三.对于自动化安全检测工具,完成APP安全检测与评估的思路如下: "地":主要面向本地文件的漏洞进行攻击,检查AndroidManifest.xml配置文件中权限选项 "集":主要面向APP的代码中的漏洞进行攻击,对常…

一.Android中WebView的漏洞分析最近在开发过程中遇到一个问题,就是WebView使用的时候,还是需要解决之前系统(4.2之前)导致的一个漏洞,虽然现在这个系统版本用户很少了,但是也不能忽视,关于这个漏洞,这里就不多做解释了,可能有的同学早就了解了,本来想写一篇文章详细介绍一下,但是网上的知识太多了,而且都很详细,就没弄了,这里大致简单明了的说几句:第一.漏洞产生的原因这个漏洞导致的原因主要是因为Android中WebView中的JS访问本地方法的方式存在缺陷,我们做过交互的都知道,A…

JS与WebView交互存在的一些问题 作者 隔壁的李小宝 关注 2015.06.09 19:30 字数 2896 阅读 11117评论 3喜欢 35 一.背景概述 2013年Android平台暴露出WebView漏洞.利用该漏洞,攻击者可以通过存在风险的addJavascriptInterface接口函数提供的扩展穿透webkit执行本地Java代码,造成恶意代码在受害人的手机上执行,并可能进一步执行木马.目前,google公司仅对Android4.2及以上系统提供了规避方法,Android4…

评估思路 移动APP面临的威胁 风起云涌的高科技时代,随着智能手机和iPad等移动终端设备的普及,人们逐渐习惯了使用应用客户端上网的方式,而智能终端的普及不仅推动了移动互联网的发展,也带来了移动应用的爆炸式增长.在海量的应用中,APP可能会面临如下威胁: 新技术新业务移动APP评估思路 在这次的移动APP安全测试实例中,工作小组主要通过如下7个方向,进行移动终端APP安全评估: 运营商自动化APP测评思路 运营商自主开发的自动化APP安全检测工具,通过"地.集.省"三级机构协作的方式,…

本文从Android系统架构着手,分析Android的安全机制以SE Android,最后给出一些Android安全现状和常见的安全解决方案. 1.Android系统架构 Android采用分层的系统架构,由下往上分别是linux内核层.硬件抽象层.系统运行时库层.应用程序框架层和应用程序层. Android以Linux操作系统内核为基础,实现硬件设备驱动.进程和内存管理.网络协议栈.电源管理等核心系统功能.除此以外,Android还增加了一些面向移动设备的特有功能,如低内存管理LMK(Low…

转自:http://djt.qq.com/article/view/1193   最近一朋友提了几个Android问题让我帮忙写个小分享,我觉得对新人还是挺有帮助的,所以有了这个小分享. 1.目前, Android APP开发完成后,通常需要在哪些机型上进行测试? 2.目前, 开发Android APP时,需要考虑的分辨率有哪些? 这两个问题可以合起来回答的. http://developer.android.com/about/dashboards/index.html 源自Google Pl…

作者:gzjay,腾讯MIG无线产品部 高级工程师 最近一朋友提了几个Android问题让我帮忙写个小分享,我觉得对新人还是挺有帮助的,所以有了这个小分享. 1.目前, Android APP开发完成后,通常需要在哪些机型上进行测试? 2.目前, 开发Android APP时,需要考虑的分辨率有哪些? 这两个问题可以合起来回答的. http://developer.android.com/about/dashboards/index.html 源自Google Play的数据,每月都会进行upd…