当前位置:首页 > 网络黑客 > 正文内容

安卓系统Activity劫持与反劫持

访客4年前 (2021-04-04)网络黑客538

00序言

近日,丹麦一家APP安全性企业Promon发觉并报导了一个特点系统漏洞早已被好几个故意运用利用的数据分析报告,她们根据检测发觉该系统漏洞使恶意程序能够装扮成一切合理合法的应用软件,进而使网络黑客能够浏览个人短消息和相片,盗取受害人的登陆凭证,追踪部位或纪录电話会话,乃至能够根据手机镜头和话筒开展监控。

科学研究工作人员将该系统漏洞取名为StrandHogg,它是北欧人的一种北欧海盗战略,围攻沿海城市抢掠并扣减保证金。据调查现阶段最少现有500个利用此系统漏洞的故意运用,在其中包含最开始在2017年观查到的BankBot金融机构木马病毒的变异。

科学研究工作人员对于此事系统漏洞的基本原理深入分析后发觉它是一种对“Activity劫持”的进攻方式。

01StrandHogg进攻技巧

该系统漏洞使故意应用软件有可能在装扮成合理合法应用软件的另外要求管理权限。攻击者能够要求得到一切批准,包含SMS,相片,话筒和GPS,进而容许她们阅读文章信息,查询相片,开展监听和追踪受害人的主题活动

简易而言,要不攻击者根据该系统漏洞,要求获得应用权限,要不攻击者利用相近“界面劫持”的方法,弹出来垂钓界面使你键入帐户登陆密码。

02StrandHogg进攻基本原理

事实上,该系统漏洞在2015年就早已被宾州州立高校开展了科学研究和报导,科学研究工作人员从理论上叙述了该系统漏洞完成方式。Google那时候否定了该系统漏洞的严重后果,但Promon有不容置疑的直接证据说明网络黑客已经利用StrandHogg来获得对机器设备和应用软件的访问限制。

而关键所在利用该特点系统漏洞,能够压根不用root就可以垂钓获得各种各样管理权限,乃至用户帐户登陆密码。

他利用Android的多个任务系统软件中的一个缺点来执行强劲的进攻,使故意应用软件能够装扮成该机器设备上的一切别的应用软件。此系统漏洞利用根据一个称之为“taskAffinity”的Android控制设定,该控制容许一切应用软件(包含故意应用软件)随意地选用其所需的并行处理系统软件中的一切真实身份。

Android的并行处理体制促使用户能够在不一样的应用软件中间便捷的转换,当今过程被转换到后台管理时,多个任务体制会让过程进到中止的情况,总是在运行内存中储存运用的运作情况,因而不容易占有CPU的資源。

殊不知,Android的并行处理体制及其Activity的设计方案本身却存有一些缺点,“Activity劫持“绝大多数选用了界面遮盖或强制关掉总体目标过程并弹出来虚报界面的方法,一般根据监听系统日志、枚举类型当今过程等方法来完成其进攻总体目标。

03 Activity劫持缘故

Activity劫持是根据Activity所属每日任务及回到栈有关特性开展劫持的一种方式.根据一定的特性设计方案,能够完成Activity在不一样每日任务中间的迁移及遮盖等个人行为。

在开展安卓系统APP开发设计全过程中,假如在运行一个Activity时,给他们添加一个标志位FLAG_ACTIVITY_NEW_TASK,就能使他放置栈顶并立刻展现给用户。对于这一实际操作,倘若这一Activity是用以盗号软件的掩藏Activity呢?在Android系统软件之中,程序流程能够枚举类型当今运作的过程而不用申明别的管理权限,这样子大家就可以写一个程序流程,运行一个后台管理的服务项目,这一服务项目不断扫描仪当今运作的过程,当发觉总体目标过程启动,就运行一个掩藏的Activity。假如这一Activity是登录界面,那麼就可以从这当中获得用户的账户密码。

简易的说便是APP一切正常的Activity界面被故意攻击者更换上假冒的故意Activity界面开展进攻和不法主要用途。界面劫持进攻一般难被鉴别出去,其导致的不良影响不但会给用户产生重大损失,也是移动智能终端开发人员们的做噩梦。举个事例而言,当用户开启安卓机上的某一运用,进到到登陆页面,这时候,恶意程序探测到用户的这一姿势,马上弹出来一个与该运用界面同样的Activity,遮盖没了合理合法的Activity,用户基本上没法发觉,该用户下面键入用户名和登陆密码的实际操作实际上是在恶意程序的Activity上开展的,最后会产生什么就显而易见了。

04Activity劫持进攻方式

1、监听系统Logocat日志,一旦监视到产生Activity界面转换个人行为,即开展进攻,遮盖上仿冒Activity界面执行蒙骗。开发人员一般都了解,系统软件的Logcat日志会由ActivityManagerService复印出包括了界面信息的日志文档,恶意软件便是根据Logocat获得这种信息,进而监管手机客户端的运行、Activity界面的转换。

2、监听系统API,一旦恶意软件监视到有关界面的API部件启用,就可以进行进攻。

3、反向APK,故意攻击者根据反汇编和逆向分析APK,掌握运用的领域模型以后目的性的开展Activity界面劫持进攻。

05 Activity劫持生产调度体制

android为了更好地提升用户的用户感受,针对不一样的应用软件中间的转换,大部分是无缝拼接。她们转换的仅仅一个activity,让转换的到前台接待表明,另一个运用则被遮盖到后台管理,不由此可见。Activity的定义等同于一个与用户互动的界面。而Activity的生产调度是交给Android系统软件中的AmS管理方法的。AmS即ActivityManagerService(Activity管理服务),每个运用想运行或终止一个过程,全是先汇报给AmS。 当AmS接到要运行或终止Activity的信息时,它先升级內部纪录,再通告相对的过程运作或终止特定的Activity。当新的Activity运行,前一个Activity便会终止,这种Activity都保存在系统软件中的一个Activity历史时间栈中。每有一个Activity运行,它就压进历史时间栈顶,并在手机上表明。当用户按住back键时,顶端Activity弹出来,修复前一个Activity,栈顶偏向当今的Activity。

06Activity劫持完成

开发设计一个简易的APP运用来检测界面劫持,大致逻辑性是程序流程启动获得到本机里已安裝的全部运用信息,随后人为因素加上想劫持的运用,程序流程在后台管理持续监视Activity栈顶原素分辨运用信息是不是与攻击者加上的运用信息一致,发觉假如用户点一下了被劫持的运用,则给仿冒的网页页面加上一个标志位“FLAG_ACTIVITY_NEW_TASK”使其立刻进到栈顶,更换掉本应该是用户点一下一切正常载入的运用界面,进而完成界面劫持。

获得本机里已安装应用的package信息。并打印以下:

攻击者在下面的图所显示部位,加上想劫持的应用包信息。可是如何知道包信息呢,回答非常简单,由于攻击者要想提升劫持的通过率,他会采用一些用户规模大的运用,一些能被很多人免费下载的运用,而这种运用的包信息是公布的,这就解决了包信息的难题。

下面的图展现的编码,便是解决劫持进攻的逻辑性编码。程序流程载入Activity栈顶的原素,分辨他的包信息跟设置的包信息是不是相符合。相符合得话马上启用Camera_layout.xml(仿冒网页页面),并加上一个标志位“FLAG_ACTIVITY_NEW_TASK”,将他马上放置栈顶部位替代原来的一切正常网页页面,完成界面劫持。

劫持程序流程界面

劫持取得成功界面

07Activity反劫持安全防护方式

现阶段,还没什么专业对于 Activity 劫持的安全防护方式,由于,这类进攻是用户方面上的,现阶段还没法从编码方面上彻底消除。可是,我们可以适度地在 APP 中给用户一些警告信息,提醒用户其登录界面以被遮盖。在网络上查了许多解决方案以下:

1、对于用户:

Android手机上均有一个HOME键(即小屋子的那一个标志),长按能够查询到最近每日任务。用户在要输入支付密码开展登陆时,能够根据长按HOME键查询最近每日任务,例如登陆微信时间按发觉最近每日任务发生了手机微信,那麼现在我的这一登陆界面就极有可能是一个故意掩藏的Activity,转换到另一个程序流程,再查询最近每日任务,就可以了解这一登陆界面是来自哪一个程序流程了。

2、对于开发者:

研发人员一般的作法是,在登陆对话框或是用户隐私保护键入等重要Activity的onPause方式中检验最前面Activity运用是否本身或是是系统应用,假如发觉故意风险性,则给用户一些警告信息,提醒用户其登录界面以被遮盖,并得出遮盖一切正常Activity的类名。

在 Acitivity 的 onStop 方式中 启用封裝的 AntiHijackingUtil 类(监测系统程序流程授权管理)检验程序流程是不是被系统软件程序流程遮盖。

在前面创建的一切正常Activity的登录界面(也就是 MainActivity)中重写 onKeyDown 方式和 onPause 方式,分辨程序流程进到后台管理是不是用户本身导致的(触碰返回键或 HOME 键)这样一来,当其被遮盖时,就可以弹出来警告信息。

全自动运维管理|运维管理专用工具的不断迅速交货实践活动

【预警信息】具备极高可配备性的Zeppelin敲诈勒索病毒来袭!!!

【风险】可绕开防毒软件的Snatch病毒感染来啦!!!

当碉堡机会上防水坝,1 1撞击的安全性便是那么稳!

Android勒索病毒剖析

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/107818.html

分享给朋友:

“安卓系统Activity劫持与反劫持” 的相关文章

【干货知识】高級不断渗透第八季-demo就是远程控制

本季度是《高級不断渗透-第七季demo的发展》的持续。 点一下文尾左下角“阅读”可阅读文章第七季文章正文。 在第一季有关后门中,文章内容提及再次编译程序notepad ,来引入有目标源代码后门结构。 在第六季有关后门中,文章内容假定不在获知notepad 的源代码,来引入无目标源代码沟...

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我 请各位帮我想想办法,开网店怎么找女装货源唔爱神起助您成就财富人生,想做微商?想开实体店?想开淘宝店?什么才是你创业的最重要步骤?货源!想在微商卖童装母婴用品纸尿裤女装,开童装女装店铺,你去哪里找最好的货源?如何找童装女装一手货源呢?...

为什么反复烧开的水会有毒?

为什么反复烧开的水会有毒? 千滚水就是在炉上沸腾了一夜或很长时间的水,还有电热水器中反复煮沸的水。这种水因煮过久,水中不挥发性物质,如钙、镁等重金属成分和亚硝酸盐因浓缩后含量很高。久饮这种水,会干扰人的胃肠功能,出现暂时腹泻、腹胀;有毒的亚硝酸盐还会造成机体缺氧,严重者会昏迷惊厥,甚至死亡。 蒸...

统一柴机油价格 「柴机油和润滑脂」

不过他们不能混着用的统一,这个价格会便宜一点的,大桶,价格较高。我现在都是在美宴网买的进口机油,其次金引擎柴机油的油压稳定,cSt。 金引擎柴机油基础油均采用合成油,我就知道美孚.价格在280左右,工作小时,但其他渠道假货多。cSt,大桶。 壳,价格根据产品规格不同而定。有知道统一昆仑,长城,嘉实多...

怎样辨别有农药残留的蔬菜?

怎样辨别有农药残留的蔬菜? 一、不吃形状、颜色异常的蔬菜: 形状:颜色正常的蔬菜,一般是常规栽培,是未用激素等化学品处理的,可以放心地食用。 “异常”蔬菜可能用激素处理过,如韭菜,当它的叶子特别宽大肥厚,比一般宽叶一次同学聚会,我发现很多同学已经有房有车,毕竟毕业三年了,而我还只是每个月三千块...

免费永硕黑客网盘,黑客软件公司,网站被黑客攻击要多久才能恢复

写入文件C:WindowsSystem32MF.dll,指令如下:7月,咱们发布了NewsBeef(又称为APT33,或Charming Kitten)在2019-2019年期间的歹意活动状况,NewsBeef是一个歹意安排,首要重视沙特阿拉伯和西方的方针。 NewsBeef缺少先进的进犯才干,此前...

评论列表

听弧里予
2年前 (2022-07-04)

W_TASK”使其立刻进到栈顶,更换掉本应该是用户点一下一切正常载入的运用界面,进而完成界面劫持。获得本机里已安装应用的package信息。并打印以下:攻击者在下面的图所显示部位,加上想劫持的应用包信息。可是如何知道包信息呢,回答非常

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。