10月28日,京东安全响应中心联合猪八戒安全响应中心在成都世代锦江酒店共同举办了“2016年JSRC安全乌托邦——成都站”。

我们MS509 Team核心成员Thor是分享者之一,他带来的议题是《One Class to Rule Them All:Android反序列化漏洞分析》,我有幸跟着Thor大牛参与了这次安全分享会。

478311378171000726

此次分享会其余两个议题分别是,由猪八戒网资深移动安全专家H3arts 带来的《浅谈Android自动化审计》和由知道创宇的高级安全研究员邓金城带来的议题《大浪淘沙-海量web日志异常挖掘》。

229888917870886177

干货区

反序列化漏洞广泛存在于php、python、java、ruby等编程语言中,影响一大波web系统。Android系统近年也爆出几个高危反序列化漏洞,包括CVE-2014-7911、CVE-2015-3825等,影响了包括Android 4 到 Android 5.1大部分系统,能够让恶意app提权至仅次于root的system权限,影响甚广。本次议题主要根据两个CVE漏洞实例,深入分析Android系统反序列化漏洞成因以及漏洞利用细节。

Android系统由于在反序列时由于检查不严,导致恶意程序能够通过精心构造的序列化对象来攻击系统。CVE-2014-7911和CVE-2015-3825是Android系统反序列化漏洞的实例,通过构造恶意对象能够触发漏洞并劫持系统进程,通过利用ROP、Stack pivot、ASLR绕过等技术可以达到提权并执行shellcode的目的。

111

恶意代码攻击流程

122