Redian新闻
>
某国产电商APP利用Android漏洞细节曝光:内嵌提权代码、动态下发Dex

某国产电商APP利用Android漏洞细节曝光:内嵌提权代码、动态下发Dex

公众号新闻

出品 | OSC开源社区(ID:oschina2013)

近日,独立安全研究机构 DarkNavy 发表文章披露,国内一家互联网巨头的 APP 利用了 Android 系统漏洞提权使其难以卸载。报道称,该 APP 首先利用了多个厂商 OEM 代码中的反序列化漏洞提权,提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)
之后,该 App 利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写;进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面 (Launcher) 配置隐藏自身或欺骗用户实现防卸载;随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留;甚至还实现了和间谍软件一样的遥控机制,通过远端 “云控开关” 控制非法行为的启动与暂停,来躲避检测。
最终,该互联网厂商通过上述一系列隐蔽的黑客技术手段,在其合法 App 的背后,达到了:
  • 隐蔽安装,提升装机量
  • 伪造提升 DAU/MAU
  • 用户无法卸载
  • 攻击竞争对手 App
  • 窃取用户隐私数据
  • 逃避隐私合规监管
等各种涉嫌违规违法目的。
经网友讨论,该 APP 有一个典型的特性就是安装后在桌面上创建快捷方式,用户实际上卸载或删除的只是快捷方式,并非其本体,无法卸载的同时,该 APP 利用技术手段伪造提升 DAU/MAU,攻击竞争对手的 APP。

下图是网友在论坛发布的帖子,他表示自己亲人的安卓手机无法卸载该电商 APP:


前日,有人在 GitHub 上公布了完整的漏洞提权方法,以及实现细节。据称该 APP 的 APK 内嵌多个用于提权的漏洞利用代码,以及动态下发 DEX 分析。
相关链接:https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw


往期推荐



 一周热点 | 2023.03.01-2023.03.07

一人改代码搞崩推特,马斯克暴怒:ShitCode!彻底重构!

Rust团队内部斗争终平息:建立新领导委员会、权力下放、宣布新的治理模型草案



这里有最新开源资讯、软件更新、技术干货等内容

点这里 ↓↓↓ 记得 关注✔ 标星⭐ 哦

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
“没准备10万别约我吃饭”!落马官员贪腐细节曝光:母亲过世修坟都要老板“赞助”万锦Hwy7华人区商场两人被严重袭击!新细节曝光:又一人被抓!比亚迪发布高端车,特斯拉新年大降价苏州杀夫藏尸案,大量细节曝光:哪有什么离奇,不过都是人性!Why seams many people in the world hate China?【震惊】传郭富城紧急回港,天王嫂闺蜜肢解烹尸案更多细节曝光:前夫一家4口被捕!祸起7000万豪宅!今天回校上学,临走前把一件事做完。。河南女生惨遭凌辱?4分钟89次、头套垃圾桶,更多细节曝光:我不敢看…马斯克暴怒欲重构推特这堆ShitCode;某国产电商APP利用安卓漏洞细节曝光 | 周热点Spotify 移动工程平台迁移:将 Android 和 iOS 代码库迁移到 Bazel19岁女大学生纵欲过度,“3人轮流”,接客细节曝光:太恶心了!​黑心医生摘器官时细节曝光:人还活着!翟欣欣案判了,逼死丈夫细节曝光:原本,苏享茂有3次活命的机会…7次举手求救后男孩意外身亡,案件细节曝光:为什么这一次我们如此愤怒?AMD ZEN 6架构细节曝光:2nm曝光!澳洲移民局漏洞百出,大批留学生利用签证漏洞,靠这种手段拿PR,从大学跑路...不写代码、靠“玩”ChatGPT年入百万,提示工程师正变成硅谷新宠细节曝光:在德国深山里,乌军接受“速成秘训”……新潮信息获CAPPVD漏洞库感谢信从论文到代码、从前沿研究到工业落地,全面了解BEV感知Cineplex国产电影大放送,在加拿大也可以看贺岁片,快约起来!“没准备10万元别约我吃饭”,贪官韦绍艺索贿细节曝光:情人缺钱、母亲过世修坟都要老板赞助...莫非下一条真正的大鱼是它?元旦,南加州:Field of Light浙江娇妻出轨侄子被捉奸,狗血细节曝光:不忍直视!8人为追求刺激酒店玩“换妻游戏”,毁三观细节曝光:别把不要脸当性解放!Android版Emacs上架F-Droid“连赌两天两夜,输了几百万”“欠巨额赌债,把受贿的房子卖了”,甘荣坤案细节曝光:只要一上赌桌,就像打了鸡血谷歌裁员细节曝光:开源主管被裁,61岁程序员在线求职,有人60天找不到工作就被遣返Agustín Hernández:中美洲建筑背景下的未来主义巨构胡鑫宇尸检细节曝光:果然,我们都被骗了...苹果或推Apple Watch Series X/Android 14新增克隆App功能/微软解散工业元宇宙团队数百程序员专门教AI写代码、40个bug能修复31个,“取代程序员”这次要成真了?田亮怒斥妻子出轨,开房细节曝光:“你不要脸的样子,真恶心!”Nature:把ChatGPT用于科研的读者中,最多的竟是“头脑风暴,写代码、报告文稿、文献综述或研究论文”!
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。