利用旧版Android漏洞的E-Z-2-Use攻击代码已在Metasploit发布

标签: 资讯 | 发表时间:2014-02-23 12:05 | 作者:thanks
出处:http://www.freebuf.com

利用旧版Android漏洞的E-Z-2-Use攻击代码发布利用Android操作系统WebView编程接口漏洞的攻击代码已作为一个模块加入到开源漏洞利用框架Metasploit中。

漏洞影响Android 4.2之前的版本,Google在Android 4.2中修正了这个漏洞,但根据官方统计,超过五成用户仍然使用存在漏洞的旧版本。

WebView的漏洞允许攻击者在Android浏览器和其它应用中注入恶意 JavaScript代码, 获得与目标程序相同的访问权限,攻击者可以开启一个shell窗口访问受害者的文件系统、照相机,地理位置数据、SD卡数据和地址簿。漏洞还可通过不安全网络的中间人攻击触发。漏洞存在于Android系统中,而不是私有的 GMS 应用平台,只有更新系统才能修正漏洞。

安全研究人员Tod Beardsley希望,攻击代码的披露能迫使供应商尽快升级系统。

漏洞利用测试

msf > use exploit/android/browser/webview_addjavascriptinterface
msf exploit(webview_addjavascriptinterface) > show targets
...targets...
msf exploit(webview_addjavascriptinterface) > set TARGET <target-id>
msf exploit(webview_addjavascriptinterface) > show options
...show and set options...
msf exploit(webview_addjavascriptinterface) > exploit

相关资料

相关 [利用 android 漏洞] 推荐:

Android平台漏洞挖掘与利用

- - 外刊IT评论
由于Android平台特殊的生态,每一个Android设备中存在着Google、手机开发商、芯片厂商等多种来源的软件. 每个软件模块没有统一的安全审计制度和测试流程,导致质量良莠不齐,对于安全研究者乃至于恶意攻击者来说,一直是一个比较好的目标. 从安全的角度考虑, Android平台利用Linux的uid特性把权限做了很好的区隔,使得在App层级,权限比较受限,一方面阻隔了许多恶意软件可能造成的破坏,另一方面也限缩了用户能够掌控自己设备的能力.

Android WebView 漏洞的利用、局限与终结

- - WooYun知识库
WebView.addJavascriptInterface方法导致的远程代码执行漏洞由来已久,与其相关的CVE有三个( CVE-2012-6636、 CVE-2013-4710、 CVE-2014-1939). 从乌云上暴露的 相关漏洞来看,常见的利用方法就是通过反射获得java.lang.Runtime的实例,然后执行一系列shell命令,从而达到读取联系人、发短信、读写SD卡文件、反弹shell、安装APK等目的,可以参考livers的文章 WebView中接口隐患与手机挂马利用.

利用旧版Android漏洞的E-Z-2-Use攻击代码已在Metasploit发布

- - FreeBuf.COM
利用旧版Android漏洞的E-Z-2-Use攻击代码发布利用Android操作系统WebView编程接口漏洞的攻击代码已作为一个模块加入到开源漏洞利用框架Metasploit中. 漏洞影响Android 4.2之前的版本,Google在Android 4.2中修正了这个漏洞,但根据官方统计,超过五成用户仍然使用存在漏洞的旧版本.

[译]jboss漏洞利用

- - 互联网 - ITeye博客
原文地址:http://resources.infosecinstitute.com/jboss-exploitation/. JBoss Application Server是一个基于Jave EE的web应用服务器. 如果Jboss没有正确配置,它会允许攻击者进行各种恶意攻击. 由于JMX console可以通过端口8080远程访问,攻击者和恶意用户可以通过使用Jboss console中的DeploymentScanner功能部署他们自己的WAR(web archive)文件或shell脚本.

Android漏洞影响99%设备 谷歌提供补丁程序

- - TechWeb 今日焦点 RSS阅读
  新浪科技讯 北京时间7月9日晚间消息,国外媒体周一报道称,谷歌已经开发出了移动网络安全公司Bluebox Security所发现的重大Android漏洞的补丁程序,并已将其提供给OEM厂商.   Bluebox Security上周四表示,在Android操作系统中发现重大安全漏洞. 该漏洞允许黑客将当前99%的应用转变为特洛伊木马程序,可能影响到99%的Android设备.

你不知道的 Android WebView 使用漏洞

- - CSDN博客推荐文章
现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图. Android的WebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题. Android WebView的使用漏洞 及其修复方式.

android WebView详解,常见漏洞详解和安全源码

- - CSDN博客推荐文章
  这篇博客主要来介绍 WebView 的相关使用方法,常见的几个漏洞,开发中可能遇到的坑和最后解决相应漏洞的源码,以及针对该源码的解析.   转载请注明出处: http://blog.csdn.net/self_study/article/details/54928371.   对技术感兴趣的同鞋加群 544645972 一起交流.

Android Binder漏洞挖掘技术与案例分享

- - 美团点评技术团队
本文由作者根据其在KCon 2016黑客大会上的演讲内容整理而成. 演讲稿链接: Binder fuzzing based on drozer. 文章开始,先来看几个我在工作生活中发现的Android漏洞. 其中包括Android系统锁屏密码绕过(影响了所有安全补丁在2016年10月份以前的Android 6.0、6.0.1、7.0系统)、三星手机关机窃听、三星手机越权修改主题、系统拒绝服务漏洞.

漏洞播报:OpenSSL “heartbleed” CVE-2014-0160 安全漏洞附利用测试exp

- - Seay's blog 网络安全博客
测试脚本: http://pan.baidu.com/s/1hq41y9A . OpenSSL官方网站4月7日发布 公告,有研究人员发现OpenSSL 1.0.1和1.0.2-beta版本中存在安全漏洞(编号为CVE-2014-0160),可能暴露密钥和私密通信,应该尽快修补,方法是:. 升级到最新版本OpenSSL 1.0.1g.

微软IIS 6.0和7.5的多个漏洞及利用方法

- - Chinadu's Blog
1.任何组织和个人不得利用此漏洞进行非法行为,否者产生的一切后果与本人无关. 2.各大站长与个人转载、复制、传阅时请保留此声明,否者引发的一切纠纷由传播者承担. 微软的IIS 6.0安装PHP绕过认证漏洞. 微软IIS与PHP 6.0(这是对PHP5中的Windows Server 2003 SP1的测试).