离我的App远点儿！-Android.pdf

离我的App远点儿！ - Android应用劫持的攻与防 SESSION ID: MAN-W07 周荣誉 资深安全研究员 百度 微博：@colordancer #RSAC #RSAC 议程 ? Root or Not Root ? App劫持 ? Hook详解 ? App劫持演示 ? 注入和Hook检测/修复 ? 离我的App远点儿！——创建可信App运行环境 #RSAC 2 Root or Not Root #RSAC #RSAC Root or Not Root ? 这不是我们今天要讨论的问题 ? 不过这个问题其实很简单 ? 需要：卸载预装、控制自启动、个性化、…… ? 不需要：不安全！ ? 我们需要的是“安全的Root” #RSAC 4 Root的危害 ? Android通过用户隔离来保障每个应用的安全 ? 每个App都可以申请Root权限 ? Root后，你的App就可以被其他App访问 ? 内存被篡改 ? 行为被监控 ? …… #RSAC 5 被注入后的Chrome进程 #RSAC 6 App劫持 #RSAC #RSAC 什么是App劫持? ? App劫持：App的执行流程被重定向 ? 通常通过“注入+Hook”来实现 #RSAC 8 App劫持过程 ? Step1: 逆向分析App的逻辑 ? Step2: 注入模块到App进程中 ? Ptrace ? Dlopen ? Step3: Hook ? Java Hook ? Native(so) Hook #RSAC 9 注入Hook过程 #RSAC 10 Hook详解 #RSAC #RSAC 具有Hook行为的App ? 病毒 ? 数量较少 ? 开发hook模块成本较高 ? 需要root ? 安全软件 ? 主动防御 #RSAC 12 Hook类病毒 ? Wind Seeker #RSAC 13 安全类App 主流安全App：