2022 年度Android最“不可赦”漏洞

Posted xiangzhihong8

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2022 年度Android最“不可赦”漏洞相关的知识,希望对你有一定的参考价值。

原文链接:https://mp.weixin.qq.com/s/P_EYQxOEupqdU0BJMRqWsw

一、背景

最近,国内网络安全公众号“DarkNavy”昨日发布文章《2022 年度最“不可赦”漏洞》称,有知名互联网厂商持续挖掘新的安卓OEM系统相关漏洞,在其公开发布的 App 中实现对目前市场主流手机系统的漏洞攻击。(疑似PDD)

根据DarkNavy的表述,该互联网厂商使用了多种黑客手段,实现对用户手机的提权、隐私信息收集、应用防卸载、应用长期驻留后台等违法违规行为。

比如,该互联网厂商旗下App利用了多个安卓手机厂商 OEM 代码中的反序列化漏洞,实现手机系统提权。完成提权后,该 App 事实上已经完成了反客为主,通过 App 控制了用户的整个手机系统。

在提权控制手机系统之后,该 App 即开启了一系列的违规操作,绕过隐私合规监管,大肆收集用户的隐私信息(包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等)。

之后,该 App 进一步使用其他黑客技术手段,突破系统沙箱机制、绕开权限系统改写系统关键配置文件为自身保活(注:保持进程持续活跃),修改用户桌面配置隐藏自身或欺骗用户实现防卸载,通过多种操作实现更加隐蔽的长期驻留,甚至还实现了和间谍软件一样的“云控开关”遥控机制,来躲避安全检测。

最终,该互联网厂商通过上述一系列隐蔽的黑客技术手段,在其合法 App 的背后,达到了隐蔽安装提升装机量、非法提升 DAU/MAU、用户无法卸载、攻击竞争对手 App、窃

以上是关于2022 年度Android最“不可赦”漏洞的主要内容,如果未能解决你的问题,请参考以下文章

向内而生 向远而行 | 希尔贝壳荣获“2022年度最具投资价值创新企业”奖

2022年度最常见的Spring Boot面试题附解析

人生节点 | 2021年终总结&2022年度计划

新版 Java 惊现“年度加密漏洞”,网友:还好我只用 Java 8

鲁大师2022牛角尖颁奖盛典落幕,年度最强产品揭晓!

鲁大师2022牛角尖颁奖盛典落幕,年度最强产品揭晓!