本文研究了Android系统服务中的Binder通信机制存在的安全漏洞。Binder是Android应用访问系统服务的主要机制，采用客户-服务器角色模型，通常系统服务作为服务器，应用作为客户端。然而，越来越多的场景需要系统服务充当Binder客户端，向可能由应用实例化的Binder服务器发送查询。利用这种角色反转的可能性，本文提出了Binder交易重定向（BiTRe）攻击，攻击者诱导系统服务与自定义的Binder服务器进行交易，然后从未受保护的Binder服务器方向发起攻击。作者通过枚举BiTRe中可利用的Binder接口，展示了攻击面的规模，发现攻击面随Android版本增长。在Android 11中，超过70%的Binder接口受到BiTRe影响或可用于攻击。作者通过构建原型系统，自动生成可执行程序以覆盖大部分攻击面，并识别了一系列漏洞，Google已确认并分配了10个CVE，证明了攻击的可行性。本文的主要贡献在于揭示了Binder机制中角色反转带来的新攻击面，并提供了系统性的分析方法。适合Android安全研究人员、系统服务开发者以及移动安全工程师阅读。