最新消息:

利用旧版Android漏洞的E-Z-2-Use攻击代码已在Metasploit发布

Andriod admin 921浏览 0评论

利用旧版Android漏洞的E-Z-2-Use攻击代码发布利用Android操作系统WebView编程接口漏洞的攻击代码已作为一个模块加入到开源漏洞利用框架Metasploit中。

漏洞影响Android 4.2之前的版本,Google在Android 4.2中修正了这个漏洞,但根据官方统计,超过五成用户仍然使用存在漏洞的旧版本。

WebView的漏洞允许攻击者在Android浏览器和其它应用中注入恶意 JavaScript代码,获得与目标程序相同的访问权限,攻击者可以开启一个shell窗口访问受害者的文件系统、照相机,地理位置数据、SD卡数据和地址簿。漏洞还可通过不安全网络的中间人攻击触发。漏洞存在于Android系统中,而不是私有的 GMS 应用平台,只有更新系统才能修正漏洞。

安全研究人员Tod Beardsley希望,攻击代码的披露能迫使供应商尽快升级系统。

漏洞利用测试

msf > use exploit/android/browser/webview_addjavascriptinterface
msf exploit(webview_addjavascriptinterface) > show targets
...targets...
msf exploit(webview_addjavascriptinterface) > set TARGET <target-id>
msf exploit(webview_addjavascriptinterface) > show options
...show and set options...
msf exploit(webview_addjavascriptinterface) > exploit

 

相关资料

 

转自:http://www.bugsec.org/728.html

转载请注明:jinglingshu的博客 » 利用旧版Android漏洞的E-Z-2-Use攻击代码已在Metasploit发布


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址