Android系统利用漏洞获取应用私有数据(Android2.1到8.0版本)

最新推荐文章于 2021-05-28 16:56:14 发布
最新推荐文章于 2021-05-28 16:56:14 发布
阅读量316 收藏
点赞数
本文链接:https://blog.csdn.net/qq_26914291/article/details/103494424
版权

Android2.1到4.1获取方法

漏洞名:Android FakeID

简介:该漏洞是由Android未验证证书信任链而造成的。一般情况下,使用证书的程序,如使用HTTPS协议的浏览器,是需要逐级验证证书信任链直至预先存储在系统中的根证书的,然而Android开发人员使用的证书一般是自签名的,无需验证证书信任链, Android系统也不做此验证, 在此条件下,黑客可以自行在证书信任链上任意增加证书。当增加的证书和Android里面的某个应用证书相同时,黑客编写的应用就可以访问该应用的数据,如读取用户邮件,窃取支付信息等,还可以以该应用的权限做任何事情,如发短信,打电话等。同时由于Android系统支持多重签名,黑客可以据此伪造多个证书,取得多个可信应用的权限和数据,更是加重了该漏洞的危害。

参考:http://www.hackdig.com/?08/hack-12502.htm

Android5.0到8.0获取方法

漏洞名:Janus(CVE-2017-13156)

简介:该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。

参考:https://juejin.im/entry/5a2e31b151882554bd5100b6

Android6.0及以下获取方法

漏洞名:MasterKey

类似漏洞

“9695860”漏洞和“9950697”漏洞

参考:https://juejin.im/entry/5a2e31b151882554bd5100b6

 

 

jitcor
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Android FakeID(Google Bug 13678484) 漏洞详解
简行之旅
08-07 2万+
继上一次Masterkey漏洞之后,Bluebox在2014年7月30日又公布了一个关于APK签名的漏洞——FakeID,并打算在今年的Blackhack上公布更详细的细节,不过作者Jeff Forristal在文中已经给出了不少提示,另外申迪的《FakeID签名漏洞分析及利用》也做了相关介绍。由于其中涉及的知识点较多,所以有部分朋友估计还没有看明白,所以我打算写一篇更加详细漏洞分析解说。
AndroidFakeID”签名漏洞分析和利用
android_squad的专栏
12-01 3871
转自CSDN《程序员杂志》         作者:火点,三金 7月30号,新闻又爆出Bluebox安全研究团队发布的安卓新的签名漏洞 “假 ID”,除了最新的4.4版本,几乎所有安卓设备都有此漏洞,本文通过技术分析漏洞细节,发现竟然能制作盗版支付宝,绕开360手机卫士的病毒查杀和支付保镖检测。 爆出漏洞 7月30号,Bluebox安全研究团队又对外纰漏新的签名漏洞,这是自去年轰动
android 数据5,Android怎么访问私有数据(5)
weixin_35318150的博客
05-28 410
一,暴露私有的文件1.有一个应用程序,带一个私有的文件,需求是暴露这个私有的文件。2. 写ContentProvider的一个子类3. 定义匹配规则* 定义匹配器 UriMatcher* 定义匹配规则 mUriMatcher.addURI("com.xunfang.content", "文件名", SUCCESS);4. 重写openFile方法5. 在清单文件中声明内容提供者节点()6.访问...
Android 之 访问应用专属文件
weixin_44715384的博客
03-28 815
文章目录Android 之 访问应用专属文件一、从内部存储空间访问1.1 访问持久性文件1.2 创建缓存文件二、从外部存储空间访问三、查询可用空间 Android 之 访问应用专属文件 参考网页 在很多情况下,您的应用会创建其他应用不需要访问或不应访问的文件。系统提供以下位置,用于存储此类应用专属文件: 内部存储空间目录:这些目录既包括用于存储持久性文件的专属位置,也包括用于存储缓存数据的其他位置。系统会阻止其他应用访问这些位置,并且在 Android 10(API 级别 29)及更高版本中,系统会对这些位
CVE-2017-8890- 8.x以下的root漏洞
04-04
CVE-2017-8890- 8.x以下的root漏洞
Android应用漏洞及常见解决方案
博主逸尘
01-12 8617
文章目录一. 基本信息1.1 应用权限1.2 应用行为1.3 第三方SDK1.4 恶意程序1.5 越权行为1.6 权限滥用风险1.7 资源文件包含APK二. 源文件安全2.1 应用完整性2.2 程序签名包2.3 Java代码加壳程度2.4 Java代码混淆2.5 SO文件加固2.6 H5文件加固2.7 Java层关键函数风险2.8 资源文件泄露风险2.9 单元测试配置三. 数据存储风险3.1 WebView明文存储密码3.2 数据库注入漏洞3.3 FFmpeg文件读取漏洞3.4 证书文件明文存储风险3.5
Android获取应用程序大小的方法
09-04
Android系统中,获取应用程序的大小通常涉及到对应用安装文件(APK)以及其相关的数据文件、缓存文件等的尺寸统计。以下是一些关键知识点和实现方式: 1. **隐藏API(`getPackageSizeInfo`)**: Android SDK中...
Android开发中利用反射获取存储路径的研究.pdf
09-21
Android应用开发中,存储路径的获取是一个重要的任务,特别是在处理大量数据或需要持久化存储时。由于Android的不同版本对存储的支持存在差异,开发者时常面临兼容性问题。本文主要研究了如何在Android开发中利用...
android应用下载安装apk升级版本实现demo适配Android10
04-30
这个demo实现了android开发应用内下载安装apk升级版本的功能,非常简便轻量集成,完全原生代码即可实现,无需第三方框架。。。
基于Fuzzing的Android应用通信过程漏洞挖掘技术.pdf
09-22
如果一个Android应用没有充分保护其私有组件,那么在通信过程中就可能出现组件暴露的漏洞,这可能导致恶意应用滥用,从而影响用户的隐私和设备安全。 传统的Android应用漏洞挖掘方法主要依赖静态分析和动态分析,但...
Android 获取系统各个目录的方法
08-27
Android 获取系统各个目录的方法 Android 获取系统各个目录的方法是...Android 获取系统各个目录的方法可以帮助开发者更好地管理应用程序的数据和文件,了解各个目录的用途和特点,可以使应用程序变得更加稳定和高效。
基于Android系统数据存储访问机制研究.pdf
09-21
Android系统中,数据存储访问机制是开发应用程序的基础,它涉及到如何有效地保存、读取和更新数据Android提供了多种数据存储方式,以适应不同的应用场景和性能需求。以下将详细探讨这些机制及其内在原理。 1. *...
Android众源位置数据管理系统APP研发.pdf
09-21
本文主要探讨了一款基于Android Studio平台,利用Java语言开发的众源位置数据管理系统APP,该系统旨在解决手机位置数据的高效存储、分类和管理问题。 1. **位置数据的存储与获取** - **位置数据存储分析**:...
Android编程实现获取系统内存、CPU使用率及状态栏高度的方法示例
08-29
状态栏高度是android系统私有属性,不能通过公共的API来获取,需要通过反射机制来访问 android.internal.R.dimen/status_bar_height 属性。下面是获取状态栏高度的示例代码: ```java public static int ...
谷歌修复十多个安卓高危漏洞
smellycat000的专栏
02-03 383
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队本周谷歌发布2021年2月安卓安全公告,其中包括40多个漏洞的信息,多数可导致提权后果。本月的第一次更新是2021-02-0...
Android——反编译某互联网金融APP,通过JS漏洞获取用户信息、调用分享接口植入钓鱼网站(安全篇)...
weixin_33696106的博客
02-02 477
本文将分为三部分进行详细讲解: JavaScript和WebView通信的基本使用方法; 通过反编译,快速定位攻击路径,调用JS接口获取用户信息、植入钓鱼网站; 解决办法; 结果如下: 众所周知,H5+JS接口+Webview这种混合开发模式十分普遍,市场上面绝大部分应用或多或少都是用了。 本文实例讲解的是当前市场上用户量较大的一款互联网金融APP,注册用户数几百万,流水达几十...
使用adb指令查看App私有数据数据
热门推荐
zhu6201976的博客
02-24 7万+
adb shell cd data/data/com.itheima74.test/databases // 进入该应用databases私有目录下 ls // 查看databases目录下的文件 sqlite3 Account.db // 使用sqlite3查看一个数据库 select * from info; // 查询info表所有数据,即可.
android每个应用程序的数据私有
最新发布
06-13
是的,Android 操作系统对每个应用程序的数据进行了隔离,每个应用程序的数据默认情况下是私有的,其他应用程序无法访问,这种机制被称为沙箱(Sandbox)。这意味着每个应用程序都可以独立地存储自己的数据,而不会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jitcor

觉得有用,不赏点?

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值