研究机构发文披露某国产APP恶意利用漏洞,非法提权获取用户隐私及远程遥控

研究机构发文披露某国产APP恶意利用漏洞,非法提权获取用户隐私及远程遥控 注:据信该APP指的是“拼多多” 微信公众号「DarkNavy」发文,称某互联网厂商 App 利用 Android 系统漏洞提升权限,进而获取用户隐私及阻止自身被卸载。 该互联网厂商在自家看似无害的 App 里,使用的第一个黑客技术手段,是利用一个近年来看似默默无闻、但实际攻击效果非常好的 Bundle 风水 - Android Parcel 序列化与反序列化不匹配系列漏洞,实现 0day/Nday 攻击,从而绕过系统校验,获取系统级 StartAnyWhere 能力。 提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等) 之后,该 App 进一步使用的另一个黑客技术手段,是利用手机厂商 OEM 代码中导出的 root-path FileContentProvider, 进行 System App 和敏感系统应用文件读写; 进而突破沙箱机制、绕开权限系统改写系统关键配置文件为自身保活,修改用户桌面(Launcher)配置隐藏自身或欺骗用户实现防卸载; 随后,还进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码,进行更加隐蔽的长期驻留; 甚至还实现了和间谍软件一样的遥控机制,通过远端“云控开关”控制非法行为的启动与暂停,来躲避检测。

相关推荐

封面图片

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞 Clash for Windows 的开发者确认了一个的远程代码执行漏洞,包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。 GitHub 用户 LDAx2012 说,当受攻击者订阅了一个恶意链接,订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js代码将会被执行。 该漏洞还在修复中,普通用户应该避免使用不可靠来源的订阅。
封面图片

#苹果 AirPlay现严重漏洞 可远程批量感染设备 用户需尽快更新

#苹果 AirPlay现严重漏洞 可远程批量感染设备 用户需尽快更新 安全公司OLIGO近日披露苹果AirPlay协议存在可被蠕虫利用的远程代码执行漏洞,攻击者可借此批量感染大量设备、发动攻击。此次共发现24个漏洞,并已分配17个CVE编号。苹果虽在3月31日发布安全更新进行了修复,但众多支持AirPlay的第三方设备仍存在风险,需等待各厂商推送补丁。 专家提醒苹果用户尽快完成系统更新,同时避免在不可信网络中启用AirPlay功能以降低潜在威胁。
封面图片

#苹果用户注意了 AirPlay现严重漏洞 可远程批量感染设备 用户需尽快更新

#苹果用户注意了 AirPlay现严重漏洞 可远程批量感染设备 用户需尽快更新 安全公司OLIGO近日披露苹果AirPlay协议存在可被蠕虫利用的远程代码执行漏洞,攻击者可借此批量感染大量设备、发动攻击。此次共发现24个漏洞,并已分配17个CVE编号。苹果虽在3月31日发布安全更新进行了修复,但众多支持AirPlay的第三方设备仍存在风险,需等待各厂商推送补丁。 专家提醒苹果用户尽快完成系统更新,同时避免在不可信网络中启用AirPlay功能以降低潜在威胁。
封面图片

安全网站披露 Linux 内核漏洞允许远程接管

安全网站披露 Linux 内核漏洞允许远程接管 卡巴斯基实验室安全新闻服务 Threatpost 网站发布的消息说: 该漏洞(CVE-2021-43267)存在于允许Linux节点相互发送加密密钥的TIPC消息类型。 Linux内核的透明进程间通信(TIPC)模块中存在一个关键的堆溢出安全漏洞,可能允许本地利用和远程代码执行,导致系统完全被破坏。 TIPC是一个点对点协议,由Linux集群内的节点以优化的方式相互通信;它可以实现各种类型的消息,用于不同的目的。根据SentinelOne的SentinelLabs,有关的错误(CVE-2021-43267)特别存在于一种允许节点相互发送加密密钥的消息类型中。当收到时,这些密钥可用于解密来自发送节点的进一步通信。 漏洞详情:
封面图片

WPS Office 存在远程代码执行漏洞

WPS Office 存在远程代码执行漏洞 WPS 近日发布安全通告,确认 WPS Office 存在代码执行漏洞,建议用户更新到最新版本。 WPS 官方称,攻击者利用本漏洞专门构造出恶意文档,受害者打开该文档并执行相应操作后,才会联网从远程服务器下载恶意代码到指定目录并执行,前提是系统当前用户对该目录具备写权限,攻击者进而控制其电脑。 影响范围 •WPS Office 个人版,Windows 平台,版本号低于 12.1.0.15120(含) •WPS Office 机构版本(如专业版、专业增强版),Windows 平台,版本号低于 11.8.2.12055(含)
封面图片

Realtek芯片存在漏洞,允许远程UDP包执行任意指令,即将出现在野利用

Realtek芯片存在漏洞,允许远程UDP包执行任意指令,即将出现在野利用 漏洞ID:CVE-2022-27255 版本: rtl819x-eCos-v0.x 系列rtl819x-eCos-v1.x 系列 Realtek AP-Router SDK 威胁分数:9.8 漏洞由阿根廷网络安全公司 Faraday Security 的研究人员在 Realtek 的开源 eCos 操作系统 SDK 中发现 该漏洞允许重写 SDP 数据的 SIP ALG 函数存在基于堆栈的缓冲区溢出,严重分数为9.8 远程攻击者可以使用带有恶意 SDP 数据的特制 SIP 数据包任意执行代码,这个过程完全无需身份验证。此外,攻击者还可以通过 WAN 接口利用漏洞 [包括开启拒绝外部访问] 攻击者只需有漏洞设备的外部 IP 地址,就可以 利用CVE-2022-27255 漏洞,不需要与用户交互 攻击者可以使用单个 UDP 数据包到任意端口来利用该漏洞; 此漏洞可能对路由器影响最大,但一些基于 Realtek SDK 的物联网设备也可能受到影响 [包括软路由] 该漏洞允许攻击者执行以下操作: 导致设备崩溃,执行任意代码,建立持久性的后门,改变网络流量的路线,拦截网络流量

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人