Presentation is loading. Please wait.

Presentation is loading. Please wait.

Researcher Finds Google Android Data Stealing Vulnerability 報告者:劉旭哲.

Published by Modified over 9 years ago

Similar presentations

Presentation on theme: "Researcher Finds Google Android Data Stealing Vulnerability 報告者:劉旭哲."— Presentation transcript:

1 Researcher Finds Google Android Data Stealing Vulnerability 報告者:劉旭哲

2 A researcher revealed a way to exploit a vulnerability affecting Google Android users that can be used to steal data The flaw impacts Android 2.3 The same nature as a vulnerability uncovered last year on Android 2.2. 目前已在 Nexus S 證實可以竊取資訊

3 Requires some knowledge of JavaScript and Android. Mainly in the Android browser – there is a nonbrowser component in Android The attack works by requiring the user to visit a malicious link.

4 STEPs 1.The Android browser doesn’t prompt the user when downloading a file – for example "payload.html“ – It automatically downloads to /sdcard/download/payload.html 2.Using JavaScript get this payload to automatically open – causing the browser to render the local file. 3.When opening an HTML file within this local context, – Browser will run JavaScript without prompting the user. – JavaScript is able to read the contents of files.

5 惡意網站惡意網站 惡意網站惡意網站 1. User 點擊惡意連結 2. 下載 payload.html 3. 瀏覽器執行 JS ,打開 payload.html 4. Payload.html 抓取特定文件

6 One limiting factor : – Know the name and path of the file. – However, data with consistent names on the SD card, and pictures stored with a consistent naming convention – An attacker could also read and upload any file "stored on the phone's /sdcard" The attack is not a root exploit and still runs in the Android sandbox. – Attackers cannot grab all the files on the system.

7 However, there are other ways to exploit the same flaw. The ultimate fix will require changing some essential components in the Android framework itself.

8 Other interesting news: – FBI issues warrants over pro-WikiLeaks attacks – Facebook blames bug for Zuckerberg page hack – Facebook Puts HTTPS Security Guard on Full-Time Duty.

9 Reference http://www.eweek.com/c/a/Security/Researcher- Finds-Google-Android-Data-Stealing-Vulnerability- 571999/ http://www.eweek.com/c/a/Security/Researcher- Finds-Google-Android-Data-Stealing-Vulnerability- 571999/ http://www.csc.ncsu.edu/faculty/jiang/nexuss.html http://thomascannon.net/blog/2010/11/android-data- stealing-vulnerability/ http://thomascannon.net/blog/2010/11/android-data- stealing-vulnerability/ http://news.cnet.com/8301-27080_3-20029630- 245.html?part=rss&tag=feed&subj=News-Security http://news.cnet.com/8301-27080_3-20029630- 245.html?part=rss&tag=feed&subj=News-Security http://news.cnet.com/8301-1009_3-20029885- 83.html?part=rss&tag=feed&subj=News-Security http://news.cnet.com/8301-1009_3-20029885- 83.html?part=rss&tag=feed&subj=News-Security http://www.technewsworld.com/story/71737.html

Download ppt "Researcher Finds Google Android Data Stealing Vulnerability 報告者:劉旭哲."

Similar presentations

Security researcher finds 'cookiejacking' risk in IE 報告者:劉旭哲.

Security researcher finds 'cookiejacking' risk in IE 報告者:劉旭哲.
Hands-on SQL Injection Attack and Defense HI-TEC July 21, 2013.

Hands-on SQL Injection Attack and Defense HI-TEC July 21, 2013.
Analyzing Android Browser Apps for file:// Vulnerabilities Daoyuan Wu and Rocky Chang Oct 13, 2014 The Hong Kong Polytechnic University Information Security.

Analyzing Android Browser Apps for file:// Vulnerabilities Daoyuan Wu and Rocky Chang Oct 13, 2014 The Hong Kong Polytechnic University Information Security.
App Inventor 建國科技大學 資管系 饒瑞佶 2010/10. App Inventor Google 發展 可應用瀏覽器建立一個 Android APP UI 設計 使用拼圖定義程式行為.

App Inventor 建國科技大學 資管系 饒瑞佶 2010/10. App Inventor Google 發展 可應用瀏覽器建立一個 Android APP UI 設計 使用拼圖定義程式行為.
DIR-636L Support 10/100/1000Mbps 1WAN and 4LAN 802.11N 300Mbps Wireless Easy wizard setup Support mydlink cloud service mydlink apps (iOS/android) Support.

DIR-636L Support 10/100/1000Mbps 1WAN and 4LAN N 300Mbps Wireless Easy wizard setup Support mydlink cloud service mydlink apps (iOS/android) Support.
Chrome Extentions Vulnerabilities. Introduction Google Chrome Browser Chrome OS Platform Chrome Web Store Applications Open Source Platform.

Chrome Extentions Vulnerabilities. Introduction Google Chrome Browser Chrome OS Platform Chrome Web Store Applications Open Source Platform.
Presenters: Alan Chan, Sam Tse Date:2012/06/20. DIR-605L Support 10/100Mbps 1WAN and 4LAN 802.11n 300Mbps Wireless Fixed 5dbi antennal x2 Easy wizard.

Presenters: Alan Chan, Sam Tse Date:2012/06/20. DIR-605L Support 10/100Mbps 1WAN and 4LAN n 300Mbps Wireless Fixed 5dbi antennal x2 Easy wizard.
WikiLeaks Mirror Sites Lose Web Hosting Services 報告者:劉旭哲.

WikiLeaks Mirror Sites Lose Web Hosting Services 報告者:劉旭哲.
網際網路資料庫連結 2004 Php Web Programming. 上完這段課程,你將學會  一般靜態網頁與互動式網頁的區別。  網際網路上大量資料的存取。  資料庫的角色與功能。  Web Server 的角色與功能。  網際網路資料庫的應用。  基本的程式寫作技巧及網頁的應用。

網際網路資料庫連結 2004 Php Web Programming. 上完這段課程,你將學會  一般靜態網頁與互動式網頁的區別。  網際網路上大量資料的存取。  資料庫的角色與功能。  Web Server 的角色與功能。  網際網路資料庫的應用。  基本的程式寫作技巧及網頁的應用。
Mobile IP Lab TA: 洪敏書

Mobile IP Lab TA: 洪敏書
NCCU E-Mail System 學校信箱. Let’s start from here: 從首頁的信箱入口進入.

NCCU System 學校信箱. Let’s start from here: 從首頁的信箱入口進入.
Android Application Development 郭惠翔

Android Application Development 郭惠翔
在 Ad-hoc 網路中實現點對 點發送訊息與廣播訊息. 檔案下載  範例程式可在下列網址取得  DEMO 程式可在下列網址取得

在 Ad-hoc 網路中實現點對 點發送訊息與廣播訊息. 檔案下載  範例程式可在下列網址取得  DEMO 程式可在下列網址取得
第 15 章 Servlet 程式設計 Java 2 程式設計入門與應用. 2 目錄 15-1 Servlet 的簡介 15-1 Servlet 的簡介 15-2 建立 Servlet 程式 15-2 建立 Servlet 程式 溫故知新 自我突破習題.

第 15 章 Servlet 程式設計 Java 2 程式設計入門與應用. 2 目錄 15-1 Servlet 的簡介 15-1 Servlet 的簡介 15-2 建立 Servlet 程式 15-2 建立 Servlet 程式 溫故知新 自我突破習題.
1 真理大學運輸管理學系 實務實習說明 2010.02.04. 2 目錄  實務實習類別  實務實習條例  校外實習單位  實務實習成績計算方式  校外實習甄選 / 自洽申請流程  附錄:相關表格.

1 真理大學運輸管理學系 實務實習說明 目錄  實務實習類別  實務實習條例  校外實習單位  實務實習成績計算方式  校外實習甄選 / 自洽申請流程  附錄:相關表格.
Web Meeting 使用教學 ─ 學生版.  如何即時線上與老師互動? 一. 瀏覽太御科技首頁 二. 安裝 JoinNet 在首頁的左手邊 1. 下載 JoinNet 進行安裝 JoinNet.

Web Meeting 使用教學 ─ 學生版.  如何即時線上與老師互動? 一. 瀏覽太御科技首頁 二. 安裝 JoinNet 在首頁的左手邊 1. 下載 JoinNet 進行安裝 JoinNet.
ProQuest Digital Dissertations 美加地區博碩士論文 -PQDD 地點 :私立元智大學 主講人:徐韻婷 小姐 日期 : 91 年 12 月 5 日 時間 :下午 2:00~ 下午 3:30.

ProQuest Digital Dissertations 美加地區博碩士論文 -PQDD 地點 :私立元智大學 主講人:徐韻婷 小姐 日期 : 91 年 12 月 5 日 時間 :下午 2:00~ 下午 3:30.
第 5 章 深入 Response 物件 製作. 網頁的轉向與強制輸出 - 讓網頁轉彎的 Redirect 敘述 運用 Response 物件的 Redirect 方法,將瀏覽器顯 示的網頁,導向至其他網頁,語法如下: Response.Redirect 網頁路徑與名稱 此網頁路徑與名稱  若是導向到同一台.

第 5 章 深入 Response 物件 製作. 網頁的轉向與強制輸出 - 讓網頁轉彎的 Redirect 敘述 運用 Response 物件的 Redirect 方法,將瀏覽器顯 示的網頁,導向至其他網頁,語法如下: Response.Redirect 網頁路徑與名稱 此網頁路徑與名稱  若是導向到同一台.
Geinimi, Sophisticated New Android Trojan Found in Wild 報告人:劉旭哲.

Geinimi, Sophisticated New Android Trojan Found in Wild 報告人:劉旭哲.
行政院國家科學委員會工程技術發展處自動化學門 * 試以國立成功大學製造工程研究所 鄭芳田教授 產學合作計畫 : 智慧預測保養系統之設計與實作 成果報告盤點為範例 國科會工程處專題計畫成果典藏 自動化學門成果報告盤點範例.

行政院國家科學委員會工程技術發展處自動化學門 * 試以國立成功大學製造工程研究所 鄭芳田教授 產學合作計畫 : 智慧預測保養系統之設計與實作 成果報告盤點為範例 國科會工程處專題計畫成果典藏 自動化學門成果報告盤點範例.

Similar presentations

Ads by Google