本文研究了Android系统服务中的Binder通信机制存在的安全漏洞。Binder是Android应用访问系统服务的主要机制，采用客户-服务器角色模型，通常系统服务作为服务器，应用作为客户端。然而，越来越多的场景需要系统服务充当Binder客户端，向可能由应用实例化的Binder服务器发送查询。利用这种角色反转的可能性，本文提出了Binder交易重定向（BiTRe）攻击，攻击者诱导系统服务与自定义的Binder服务器进行交易，然后从未受保护的Binder服务器方向发起攻击。作者通过枚举BiTRe中可利用的Binder接口，展示了攻击面的规模，发现攻击面随Android版本增长。在Android 11中，超过70%的Binder接口受到BiTRe影响或可用于攻击。作者通过构建原型系统，自动生成可执行程序以覆盖大部分攻击面，并识别了一系列漏洞，Google已确认并分配了10个CVE，证明了攻击的可行性。本文的主要贡献在于揭示了Binder机制中角色反转带来的新攻击面，并提供了系统性的分析方法。适合Android安全研究人员、系统服务开发者以及移动安全工程师阅读。

WOOTdroid 是一种面向 Android 原生系统的全设备在线追踪方案，旨在解决现有系统审计面临的两大问题。第一，现有系统调用追踪器（如 ftrace）在负载较高时无法及时读取事件，导致缓冲区溢出，造成事件静默丢失。第二，Android 中安全相关的应用行为通过 Binder（内核 IPC 机制）进行，而内核看到的 Binder 数据包（parcel）不包含方法名或类型化参数，导致底层事件与高层语义之间存在“语义鸿沟”。现有方案要么修改 Android 框架（难以适配系统更新），要么在用户态插桩追踪应用（易被绕过）。WOOTdroid 不需要 OS 修改或应用插桩，包含两个核心组件：WDSys 和 WDBind。WDSys 是将 eAudit 风格系统调用审计移植到 eBPF 的实现，可在当前 Android 系统上运行，Geekbench 开销不超过 3.6%，且相比 ftrace 可多追踪 33% 的系统调用。WDBind 在内核中捕获 Binder 数据包，并通过 Java 反射提取的框架签名表在进程外解码。作者在运行 Android 16 的 Pixel 9 设备上进行了端到端案例研究，成功重建了十个安全相关的 Binder 事务。该工作为 Android 安全监控提供了低开销、高语义还原度的新途径。