Android应用劫持：攻防策略与安全防护

"在RSA 2014 Conference上，百度安全团队的资深安全研究员周荣誉分享了关于Android应用劫持的深入探讨。主题涉及如何识别和防御App劫持，以及其背后的技术机制。首先，他强调了区分常规的Root和安全的Root的重要性，指出虽然Root可以提供更多的自定义和控制，但同时也带来了安全隐患。 会议议程涵盖了以下几个关键点： 1. RootorNotRoot：讨论了Root权限的利弊，指出现代Android系统通过用户隔离保护应用安全，但过于随意的Root可能会导致应用被其他App劫持，如内存篡改和行为监控。 2. App劫持的定义：App劫持是指应用程序的执行流程被恶意注入或Hook（如通过Ptrace和Dlopen技术）来改变，从而达到操控或窃取用户数据的目的。 3. 劫持过程：涉及逆向工程分析应用逻辑，然后通过JavaHook、NativeSoHook等不同类型的Hook技术进行恶意注入。 4. Hook详解：介绍了Hook行为在恶意软件中的应用，如病毒利用Hook技术进行活动，尽管成本较高且需要Root权限，但是一些安全软件通过主动防御机制试图对抗这种威胁。 5. Hook类病毒：如WindSeeker，是利用Hook技术的典型例子，这类病毒能够对应用程序的静态成员和方法进行操作。 6. 安全类App：列举了一些主流的安全应用，其中部分包含注入行为，强调了保护用户隐私和应用安全的挑战。 7. Hook类型：详细解释了各种Hook技术，包括JavaHook（操作Java类的静态成员）、MethodHook（函数钩子）、NativeSoHook（原生库钩子）等，展示了攻击者可能使用的复杂手段。 8. Java静态成员Hook示例：通过反射API（如`Class.forName()`）来改变Java类的静态变量，这是恶意Hook的一种常见形式。 在整个演讲中，周荣誉重点强调了创建可信App运行环境的重要性，即如何保护应用免受恶意劫持，同时教育开发者和用户防范此类安全威胁。"