您的位置:首页 > 电脑安全 > 手机安全 > 怎么用Fuzz技术巧妙的挖掘Android漏洞?Android漏洞该如何防御?

怎么用Fuzz技术巧妙的挖掘Android漏洞?Android漏洞该如何防御?

2019-09-30 05:37:55 来源:易采站长站 作者:王旭

怎么用Fuzz技术巧妙的挖掘Android漏洞?Android漏洞该如何防御?,Fuzz Android 漏洞

怎么用Fuzz技术巧妙的挖掘Android漏洞?Android漏洞该如何防御?

易采站长站,站长之家为您整理了怎么用Fuzz技术巧妙的挖掘Android漏洞?Android漏洞该如何防御?的相关内容。

Android系统服务即由Android提供的各种服务,比如WIFI,多媒体,短信等等,几乎所有的Android应用都要使用到系统服务。系统服务在为用户提供便利的同时,也存在着一些风险。比如,如果一个应用获取到了系统服务中的短信服务,那么他就可能会查看用户的短信信息,用户隐私就有可能暴露。此外,如果在使用系统服务的过程中,使用了异常的外部数据,有可能会导致系统服务崩溃,甚至是远程代码执行,内存破坏等等严重后果。因此Android系统服务的安全问题需要重视。

在以前的工作发现主要的漏洞和攻击主要包括特权提升攻击,恶意软件攻击,重打包,组件劫持攻击等类型。尽管安全研究人员已经针对Android上层app的漏洞挖掘做了大量的工作,但是针对Android系统服务的漏洞挖掘一直被安全人员所普遍忽视。

通过Binder机制可以对Android的系统服务漏洞进行深入的挖掘。本文基于Android的Binder机制编写了一套漏洞挖掘框架。

下面我们首先介绍一下先验知识。

1 基础知识1.1 Android的Binder机制

1.1.1 Binder概述

Binder其实也不是Android提出来的一套新的进程间通信机制,它是基于OpenBinder来实现的。Binder是一种进程间通信机制,它是一种类似于COM和CORBA分布式组件架构,是提供远程过程调用(RPC)功能。

什么是Binder

直观来说,Binder是Android中的一个类,它继承了IBinder接口 从IPC角度来说,Binder是Android中的一种跨进程通信方式,Binder还可以理解为一种虚拟的物理设备,它的设备驱动是/dev/binder,该通信方式在Linux中没有 从Android Framework角度来说,Binder是ServiceManager连接各种Manager(ActivityManager、WindowManager,etc)和相应ManagerService的桥梁 从Android应用层来说,Binder是客户端和服务端进行通信的媒介,当你bindService的时候,服务端会返回一个包含了服务端业务调用的Binder对象,通过这个Binder对象,客户端就可以获取服务端提供的服务或者数据,这里的服务包括普通服务和基于AIDL的服务 
在Android系统的Binder机制中,由一系统组件组成,分别是Client、Server、Service Manager和Binder驱动程序,其中Client、Server和Service Manager运行在用户空间,Binder驱动程序运行内核空间,如图1-1所示。Binder就是一种把这四个组件粘合在一起的粘结剂,其中核心组件便是Binder驱动程序了,Service Manager提供了辅助管理的功能,Client和Server正是在Binder驱动和Service Manager提供的基础设施上,进行Client-Server之间的通信。Service Manager和Binder驱动已经在Android平台中实现好,开发者只要按照规范实现自己的Client和Server组件就可以了。 

这里写图片描述以上就是关于对怎么用Fuzz技术巧妙的挖掘Android漏洞?Android漏洞该如何防御?的详细介绍。欢迎大家对怎么用Fuzz技术巧妙的挖掘Android漏洞?Android漏洞该如何防御?内容提出宝贵意见

相关文章

  • Android木马工具SpyNote免费发放 远程监听就是这么简单

    Android木马工具SpyNote免费发放 远程监听就是这么简单

    只要是做生意,都得讲究价值规律,黑市也不例外。某款产品要是搞打折促销,群众们必然蜂拥而至要是免费大派送,那一传十十传百的速度又怎是门庭若市可形容! 安卓远程监控脚本
    2019-09-30
  • Android层次化安全架构及核心组件概览

    Android层次化安全架构及核心组件概览

    Android系统承袭了Linux开源操作系统的安全特性,并采用了层次化的方式来保证系统安全,本文将详细介绍Android层次化安全架构及其核心组件。 style=padding-top: 0px; padding-right: 0px; padding-b
    2019-09-30
  • 发布FetionAPI 中国移动飞信免费发短信API接口

    发布FetionAPI 中国移动飞信免费发短信API接口

    看中Google App Engine的稳定性、速度和没的话的质量!在GAE上做了一个Fetion发短信的接口。 飞信可以给好友免费发短信,更可以自己给自己发,不用我在介绍了吧?(不清楚飞信的,还没
    2019-09-30
  • 手机里的信息到底安不安全?手机数据泄露大揭秘

    手机里的信息到底安不安全?手机数据泄露大揭秘

    如果你给自己的手机设置了PIN码,甚至忘记了连自己也解不开;又或者设置了比划甚至指纹解锁,然后以为这样的手机就是安全的了。是的,对于一般的人来说算安全了,可是对于真正
    2019-09-30
  • 打个电话就开机!六种方法推荐

    打个电话就开机!六种方法推荐

    如果有人问:你会开计算机吗? 你肯定会说:不就是按一下 Power 键吗?这有谁不会? 开机,不只从这里开始 如果再问你:除了按 Power 键开机外,你还会用其他的方法开机吗?你肯定
    2019-09-30
  • 手机短信验证码安全吗 警惕手机短信木马

    手机短信验证码安全吗 警惕手机短信木马

    现在想换个手机越来越麻烦,很多APP要重新下,手机里保存的宝贝也要转移,有时候这些事情甚至让我放弃了换个更好的手机的想发,更不用说换手机号了。各种网站、邮箱、账号的绑
    2019-09-30
  • 怎么用Fuzz技术巧妙的挖掘Android漏洞?Android漏洞该如何防御?

    怎么用Fuzz技术巧妙的挖掘Android漏洞?Android漏洞该如何防御?

    Android系统服务即由Android提供的各种服务,比如WIFI,多媒体,短信等等,几乎所有的Android应用都要使用到系统服务。系统服务在为用户提供便利的同时,也存在着一些风险。比如,如果
    2019-09-30
  • 有了短信验证你的钱到底是怎么被强刷走的 警惕手机木马

    有了短信验证你的钱到底是怎么被强刷走的 警惕手机木马

    本以为有了手机短信验证应该很安全了,没想到银行卡里的钱还是能被刷走,关键是一条短信都没收到。到底是怎么回事?原来是手机木马搞得鬼,很多奇怪的第三方软件作为木马拦截
    2019-09-30