文 档: 谈谈安卓的Intent注入
作 者: neobyte,汪涛@BaiduX-Team
语 言: 中文
标 签 移动安全 移动应用安全 Intent注入
介 绍:

neobyte – 百度X-Team成员,多年安全评估经验,主要研究Java安全、安卓安全、前端安全等。多次获得Chrome以及Android团队致谢。   Intent是安卓Java环境的一种IPC形式。Intent注入可以让APP发送我们想要的 Intent。议题归纳了几种常见的Intent注入类型,如何用工具去自动挖掘这些漏洞,并演示了几个在安卓框架层、系统级APP以及浏览器中发现的Intent注入漏洞。

目录

  • Intent注入的概念
  • Intent转换与复制
  • Action/Component/Data注入
  • PendingIntent误用
  • parseUri注入

总结

  • Intent注入漏洞,并非一个新的概念,它早就存在。它比较稀少,因此容易被忽视
  • 归纳了Intent入 的4种形式:Intent转换与复制、 Action/Component/Data注 、PendingIntent误用与 parseUri注 入
  • 归纳了利用自动化的工具具发现这4类形式的方法,通过批 量的扫描,可以轻易发现这些漏洞
  • 在每种都找到了一个安卓OS或Chrome安卓版的0day,达 到本地提权或远程命令执行的效果,分别得到了Android 与Chrome的官方致谢
附件下载
相关推荐
移动虚拟化技术与Android安全
  • 移动安全,数据安全,移动应用安全
#目前主要的移动安全威胁 ###应用安全威胁 - 金融支付威胁 - 企业
解锁iOS手势密码的正确姿势
  • 移动安全,密码,手势密码
手势密码具有中度安全性、优秀的用户体验,因此主要出现在带有金钱、用户隐私信息的a
饿了么移动安全实践之路
  • 移动安全实践,安全体系建设,安全能力建设
#目录 - 协议安全 - 代码保护 - 模拟器检测 - 设备指纹 -
安全客2016年刊-下册
  • 无线安全,物联网,车联网,移动安全,云安全,木马
本书共上下两册,分为Web安全、安全工具、物联网车联网安全、网络安全、移动安全、
移动APP背后的安全问题
  • 移动安全,移动应用安全,反编译
介绍了如何反编译APP并在源码中寻找隐藏的URL,API接口等资产信息,以及如何
基于频繁模式和加权朴素贝叶斯的安卓恶意应用检测方法
  • 移动安全,恶意分析,检测,安卓
- 安卓恶意应用检测方法 - 检测方法流程图 - 数据集来源及初始的权限&A
阅读心得