记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

华为AppGallery清理近200款有害软件

中关村在线消息,反病毒软件公司Dr. Web的网络安全研究人员近日在华为AppGallery应用商店里发现了大量带有恶意软件的Android游戏。具体来说,Android.Cynos.7.origin是一款能够收集用户信息的Cynos恶意软件变种。截止曝光时,其安装量已超过930万次。据悉,受感染的Android应用会索取通话和管理权限。一旦得逞,它就会开始收集数据、并将信息传递给远程服务器。相关信息包括手机号码、设备位置、移动网络参数/Wi-Fi访问数据、设备技术规格、App的元数据参数,甚至还会通过广告来感染主应用。
发布时间:2021-11-29 09:35 | 阅读:1528 | 评论:0 | 标签:app

山寨App的圈钱圈人套路,你避开了吗

● 一些不法分子制作仿冒App并通过分发平台生成二维码或下载链接,采取定向投递等方式,通过短信、社交工具等向目标人群发送二维码或下载?
发布时间:2021-11-25 12:12 | 阅读:4490 | 评论:0 | 标签:app

腾讯迎来最严厉APP监管!旗下所有APP需检测合规才可更新

11月24日,一张显示“腾讯主体下所有APP将暂停更新”的图片在网络上流传。安全内参关注到最新消息,工信部正在对腾讯采取过渡性的行政指导措施,要求其旗下所有APP需检测合规后才可更新。据中央广播电视总台央视记者从工信部了解到,今年以来,在工信部开展的App侵害用户权益专项整治中,腾讯公司旗下9款产品存在违规行为,共计4批次被公开通报,违反了2021年信息通信业行风纠风相关要求。按照有关部署,工信部对腾讯公司采取过渡性的行政指导措施,要求对于即将发布的App新产品,以及既有App产品的更新版本,上架前需经工信部组织技术检测,检测合格后正常上架。
发布时间:2021-11-24 20:29 | 阅读:6766 | 评论:0 | 标签:app 合规 腾讯

WhatsApp是如何实现端到端加密备份的?

多年以来,WhatsApp的端对端加密服务一直是默认选项,旨在全力保护人们信息隐私,让信息的交换不经手任何人,仅收件人和发件人可见。现在,WhatsApp计划让这项加密服务也应用到用户们的备份上。Google Drive和iCloud等诸多云端备份服务让人们可以随时同步备份他们的消息记录,虽然WhatsApp没有这些记录的访问权限,但提供保护的各类云存储服务却可以访问到。如果未来用户们选择启用的备份保护,那么无论是WhatsApp还是第三方的存储服务都将无法访问到用户们的备份数据和加密密钥。
发布时间:2021-11-19 12:32 | 阅读:17469 | 评论:0 | 标签:加密 app

紧急提醒!这款App赶紧卸载

 目前,市面上的借贷软件五花八门大家对各类借贷软件也不陌生部分急需用钱的小伙伴可能也考虑过借此方法解决燃眉之急近日,@公安部刑侦局 发布提醒手机里有这款App的赶!紧!卸!载!注意了!微粒贷借钱功能只能在微信和QQ平台里使用微粒贷没有官方App一些不法分子利用“微粒贷”的名义制作假冒的App实施诈骗市民稍有不慎就会落入圈套官方虽然多次辟谣但还是有人中招 真实案例10月12日10时许,江门恩平市民陈女士来到新塘派出所求助,称其疑似被一款叫“微粒贷”的App贷款平台诈骗。10月11日,陈女士收到一条贷款广告的短信,其通过短信内链接下载了“微粒贷”App,并在该贷款平台进行贷款。
发布时间:2021-11-17 21:07 | 阅读:23154 | 评论:0 | 标签:app

App申请开启“查找并连接到本地网络上的设备”权限,该拒绝吗?

近期,更新苹果手机操作系统(iOS系统)的用户在首次打开APP时,会主动弹出“某APP想要查找并连接到本地网络上的设备”的提示框(见下图),很多用户表示不解,一时不知道怎么选,怕选择“不允许”后影响App的正常使用。那么,这个“权限”所指的本地网络到底是什么?拒绝会有什么影响呢?本地网络并非互联网,也就是我们经常所说的局域网,如果手机不是通过4G、5G等移动信号连接互联网,而是选择连接Wi-Fi热点,则会与其他连接到该Wi-Fi热点的设备处于同一个本地网络中。如果是一个大功率的Wi-Fi热点,连接的设备可能多达几十、上百个,不光包括手机,还可能是智能终端设备。
发布时间:2021-11-09 12:25 | 阅读:40541 | 评论:0 | 标签:app 网络

11月5日每日安全热点 - 分析KIMSUKY组织的新后门APPLESEED

robots漏洞 VulnerabilityMozilla Thunderbird 安全更新http://www.mozilla.org/en-US/security/advisories/mfsa2021-50/Grafana XSS 漏洞安全更新https://seclists.org/oss-sec/2021/q4/96高通芯?
发布时间:2021-11-05 10:26 | 阅读:48001 | 评论:0 | 标签:后门 app 安全 分析

App随意收集信息将不能上架应用商店

APP违规收集个人用户信息已经不是什么新鲜事。有的APP在拒绝授权收集非必要个人信息后,存在功能无法使用的情况;有的APP从来不以弹出方式申请授权就默认读取用户手机应用列表;还有的APP存在明显的精准广告推送,并且无法彻底关闭,令用户不厌其烦......针对这样的情况,近日,中国网络空间安全协会和国家计算机网络应急技术处理协调中心起草了团体标准《应用商店App个人信息收集使用上架审核和管理规范(征求意见稿)》和《移动智能终端个人信息保护指南(征求意见稿)》(以下简称《征求意见稿》)。
发布时间:2021-11-04 18:29 | 阅读:46991 | 评论:0 | 标签:app

工信部通报38款违规APP:涉及超范围索取权限、过度收集用户个人信息等问题

关于APP超范围索取权限、过度收集用户个人信息等问题“回头看”的通报(2021年第11批,总第20批)今年以来,我部持续加大对APP侵害用户权益的整治力度,先后三次组织对重点问题开展“回头看”。前期,重拳整治了APP违规调用通信录、位置信息以及弹窗信息骚扰用户等问题。近期,针对用户反映强烈的APP超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为进行了检查,共发现38款APP(详见附件)存在问题。上述APP应在11月9日前完成整改,逾期不整改或整改不到位的,我部将依法依规进行处置并予以行政处罚。
发布时间:2021-11-04 01:53 | 阅读:46886 | 评论:0 | 标签:app

权利义务框架下的移动互联网APP个人信息保护——《个人信息保护法》对APP个人信息保护影响分析

阅读:102021年11月1日,《个人信息保护法》正式生效施行,标志着我国个人信息保护新阶段的全面开启。当前数字经济大背景下,移动互联网应用程序(以下简称APP)的应用日益广泛,业已成为个人信息保护首当其冲的重点领域之一。在新的法律框架下,开展APP个人信息保护应当重点关注什么?相关各方需要推进哪些工作?这些问题都值得我们深入探讨。一、APP个人信息保护必要性日益凸显APP随着手机用户增加而持续高速增长。据CNNIC发布的第48次《中国互联网络发展状况统计报告》显示,截止到2021年6月,我国手机网民规模已达到10.07亿,网民使用手机上网的比例为99.6%。
发布时间:2021-11-03 13:32 | 阅读:49754 | 评论:0 | 标签:安全分享 app 个人信息保护法 移动 保护 分析

DNS Amplification DNS Tunneling Attacks Simulation Detection and Mitigation Approaches

作者:Sanjay, Balaji Rajendran, Pushparaj Shetty D 单位:Cyber Security Centre for Development of Advanced Computing, National Institute of Technology Karnataka 会议:ICICT 2020 链接:DNS
发布时间:2021-11-01 16:09 | 阅读:55969 | 评论:0 | 标签:app DNS

Happer: Unpacking Android Apps via a Hardware-Assisted Approach

作者:Lei Xue, Hao Zhou, Xiapu Luo, Yajin Zhou, Yang Shi, Guofei Gu, Fengwei Zhang, Man Ho Au 单位:The Hong Kong Polytechnic University, Zhejiang University, Tongji University, Texas A&
发布时间:2021-11-01 16:08 | 阅读:43269 | 评论:0 | 标签:Android app android

Towards a Lightweight, Hybrid Approach for Detecting DOM XSS Vulnerabilities With Machine Learning

作者:William Melicher, Clement Fung 单位:Carnegie Mellon University 会议:WWW 2021 链接:https://users.ece.cmu.edu/~lbauer/papers/2021/www2021-dom-xss-dnn.pdf Abstract DOM XSS是web应用中常见的漏洞,而且不易防御。污点分析是最常用的检测DOM XSS的方法,但是对于许多实际的例子来说非常的消耗计算资源。所以作者提出了用机器学习方法来解决这一问题,相较于污点分析,其花销降低了3.43倍,检测到了94.5%的漏洞。
发布时间:2021-11-01 16:08 | 阅读:45021 | 评论:0 | 标签:xss app mac

未修补的高危漏洞影响Apple mac OS计算机 可使恶意文件绕过检查

周二,网络安全研究人员披露了macOS Finder中一个未修补的0 day漏洞的细节,该漏洞可能被远程对手滥用,诱使用户在机器上运行任意命令。 “macOS Finder 中的一个漏洞允许扩展名为 inetloc的文件执行任意命令,这些文件可以嵌入电子邮件中,如果用户点击它们将执行嵌入其中的命令,而不会向用户提供提示或警告。”SSD安全信息披露。 这个缺陷是由于macOS处理 INETLOC文件的方式——打开互联网位置的快捷方式,如RSS提要、Telnet连接或其他在线资源和本地文件——导致一种场景即允许在这些文件中嵌入的命令在没有任何警告的情况下执行。
发布时间:2021-10-30 15:02 | 阅读:49521 | 评论:0 | 标签:漏洞 app mac

从合规角度谈企业App使用第三方SDK时个人信息保护措施

robots 前言时至今日,App已经成为广大用户数字生活中不可或缺的一环。据相关数据显示,国内市场上的App总量与日俱增,目前已达到367万余款。App提供者为提升开发的效率以及降低成本,会在开发过程中嵌入第三方SDK,根据数据统计显示,各类别App平均使用第三方SDK数量在10个以上。而随着第三方SDK功能的不断强大并逐渐多样化,其应用市场的规模将持续扩大,但是与之而来的安全问题也渐渐浮出水面,以2020年4月Zoom App内嵌SDK数据泄露事件为例:“2020年4月Zoom App被披露存在数据泄露事故。
发布时间:2021-10-29 15:46 | 阅读:51208 | 评论:0 | 标签:app 合规 保护

全国移动App第三季度安全研究报告

robots 2021年10月,北京智游网安科技有限公司(爱加密)联合移动互联网系统与应用安全国家工程实验室(以下简称:国家工程实验室)发布了《全国移动App风险监测评估报告》(2021年3季度版)。本次评估报告包括全国移动App安全概况、全国App功能分布、金融类App分布概况、本季度增量情况、移动App个人信息安全概况、第三季度移动App安全风险监测评估等内容。App风险监测评估报告面向社会公众免费发布,为行业用户了解App安全提供了参考,也为个人用户开启了一扇了解当下App安全热点的窗户。
发布时间:2021-10-27 18:31 | 阅读:51951 | 评论:0 | 标签:移动 app 安全

恶意APP涉嫌盗取用户通讯录、短信、定位信息

开始接到任务,分析一恶意APP,涉嫌盗取用户通讯录、短信、定位信息,并对中招用户进行勒索。分析APP使用AndriodKiller查看了下APP申请的权限可以看到基本都是敏感度很高的权限,模拟器中打开APP。APP除了当前能看到的无其他页面,推测应是恶意团伙在三方通讯软件中诱导用户安装。APP打开后立即读取了通讯录及短信记录并发起了上传。尝试XSS,未收到结果,访问APP后端域名,管理员账户弱口令admin/123456。界面很简介,功能点不多,包括了查看通讯录,联系人、短信、定位,并且数据在源源不断的更新。
发布时间:2021-10-27 12:17 | 阅读:52471 | 评论:0 | 标签:app

工信部移动互联网APP产品安全漏洞库第二批技术支撑单位的遴选开始啦!

各有关单位:为贯彻落实《网络产品安全漏洞管理规定》的要求,推动网络产品安全漏洞管理工作有序进行,在工业和信息化部网络安全管理局组织指导下,中国软件评测中心(工业和信息化部软件与集成电路促进中心)负责建设和运营工业和信息化部移动互联网APP产品安全漏洞专业库(以下简称CAPPVD漏洞库),并成立安全漏洞管理特设工作组(以下简称特设组),联合行业力量支撑移动互联网APP产品安全漏洞管理工作。近期,特设组将组织开展第二批支撑单位遴选工作,汇聚各方力量共同维护移动互联网APP产品安全。
发布时间:2021-10-25 14:06 | 阅读:55460 | 评论:0 | 标签:app安全漏洞 工信部 漏洞 移动 app 安全

在 Play Store 被下载数千次的《鱿鱼游戏》App 其实是恶意软件

韩剧鱿鱼游戏Squid Game让互联网火了起来。随着Netflix的热播,人们急于下载与该韩剧有关的一切东西,包括谷歌Play Store中的一款壁纸应用,其中包含了恶意软件。 目前还没有官方的Squid Games应用程序,然而ESET的Android恶意软件研究员Lukas Stefanko在Twitter上说,Play Store上有超过200个与该系列有关的应用程序,其中就有Google保障措施还没有检测到的恶意软件,其中包括一款鱿鱼游戏壁纸应用。安全研究人员对其进行了分析,他们都认为这款鱿鱼游戏壁纸应用内置了一种Joker恶意软件。
发布时间:2021-10-22 12:24 | 阅读:49224 | 评论:0 | 标签:恶意软件 Play Store 鱿鱼游戏 app

一年白干!程序员赵某仿制老东家APP,获取服务器数据,被判4年6个月

来自公众号:程序人生整理:王晓曼近日,中国裁判文书网公布了一起非法获取计算机信息系统数据的案件。这则由北京市朝阳区人民法院发出的刑事判决书显示,被告人赵某某犯非法获取计算机信息系统数据罪,判处有期徒刑四年六个月,并没收被告人所缴纳的在案款。1、案情梳理被告人赵某某于2015年6月入职北京宽客网络技术有限公司(以下简称宽客公司),负责“音悦台”APP iOS端开发及在苹果商店上架相关事宜,后于2017年5月离职。“音悦台”APP可通过收取会员费、植入广告等赢利,该APP于2018年八、九月份因故下线。
发布时间:2021-10-21 22:57 | 阅读:60998 | 评论:0 | 标签:app

一名来自加利福尼亚的黑客承认窃取Apple iCloud 数据

一名来自加利福尼亚的 40 岁男子承认他参与了闯入 Apple 客户的私人数码照片库以定位和窃取女性露骨图片的阴谋。洛杉矶县拉普恩塔市居民  于 10 月 15 日星期五对计算机欺诈和共谋指控认罪。 根据提交给佛罗里达州坦帕市法院的文件,Chi 与其他身份不明的人合谋,未经授权访问 了美国数百人的 Apple iCloud帐户。 在一个持续多年的计划中,Chi 在地下论坛上以黑客的身份在网上推销他的服务。
发布时间:2021-10-20 12:15 | 阅读:53148 | 评论:0 | 标签:app 黑客

CryptoRom诈骗利用Apple Enterprise功能赚了140万美元

金字塔式加密货币诈骗者正在利用Apple的企业开发人员计划,将虚假交易应用程序安装到他们标记的iPhone上。到目前为止,一切都很顺利:截至目前,他们已经获得了至少140万美元的非法所得。这是Sophos Labs的说法,该实验室观察到该骗局在约会网站上四处传播。研究人员在周三的帖子中说:“他们以约会游戏为手段与用户建立友谊,但随后迅速将目标转向金钱——他们会假装为你提供一个回报率超高的投资机会。”该投资机会涉及加密货币交易,提供将资金投资于加密货币以获得巨额利润的提议。为了提供合法性的外衣,骗子提供了一个“官方”的iPhone应用程序,据称该应用程序得到了苹果的批准。
发布时间:2021-10-18 13:14 | 阅读:45704 | 评论:0 | 标签:app

美团APP存在修改账号绑定的手机号漏洞

美团APP存在业务漏洞,攻击者只需要获取到受害者的手机号和生日信息,就是能修改受害者账号绑定的手机号。1. 获取被攻击者手机号+生日,可社工获取2. 对其美团账号进行修改绑定手机号操作3. 修改后,通过修改的手机号登录账号,即可查看此账号的所有订单信息,地址信息等修复:2021.10.11后,美团将此逻辑更改为:只有6个月内修改过绑定手机号的用户才能进行此操作评价:此次漏洞导致王思聪被盗号,在微博炸锅,引起了较大舆论,此种修复方案虽然安全性提高了一点,但背离了此功能的初衷。。。
发布时间:2021-10-16 10:08 | 阅读:57847 | 评论:0 | 标签:漏洞 app 美团 手机

WhatsApp在iOS和Android推出端到端加密聊天备份功能

WhatsApp正在iOS和Android上推出端到端加密聊天备份功能,以防止除用户外的其他人访问备份的聊天内容。根据目前的机制,WhatsApp会根据用户所在系统平台,将聊天记录信息备份到相应的云存储服务上,如ios用户存储在iCloud上,Android用户存储在Google Drive上。即使用户更换了新设备,WhatsApp也能恢复其备份的聊天记录。虽然WhatsApp上的聊天是端到端加密 (e2ee),但存储在云服务上的备份并没有采用这项技术,理论上可以被任何有权访问用户手机的人获取,并执行中间人(MiTM)攻击,或通过SIM交换攻击接管号码。
发布时间:2021-10-15 15:47 | 阅读:52415 | 评论:0 | 标签:加密 Android iOS app ios android

Lazarus组织继续进行APPLEJEUS行动

robots第134期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、黑客利用“数学符号”,欺骗钓鱼防护系统INKY分析师发现的一个涉及欺诈的大型黑客组织Verizon。该组织仿冒公司徽标上使用的数学符号,用以逃避反网络钓鱼系统的检测。从披露的信息来看,该组织利用平方根符号、逻辑 NOR 运算符或复选标记这些数学符号等手段,欺骗基于AI技术垃圾邮件检测器的轻微光学差异。
发布时间:2021-10-13 21:09 | 阅读:61956 | 评论:0 | 标签:app

美团工程师回应“频繁定位”:系统功能引发,大部分主流App都会这样

美团App被曝24小时不间断定位10月10日,有数码博主在微博发布了一段视频,视频中展现了美团App iOS版连续24小时不间断定位的行为,该博主爆料称,“安装某隐私记录软件之后发现,美团在后台连续24小时进行了定位,太恐怖了。”从视频可以看出,从10月6日起便开始获取位置信息,频率高达每5分钟一次。这一行为一直持续到10月8日下午,这期间完全没有间断,自始至终保持的每5分钟请求一次的频率。美团App功能包括打车、叫外卖、查询商家等,只有在用户使用时才需要进行定位。
发布时间:2021-10-13 15:17 | 阅读:53272 | 评论:0 | 标签:app 美团

APP加固攻防梳理

以下文章来源于小道安全 ,作者小道安全 小道安全 . 以安全开发、逆向破解、黑客技术、病毒技术、灰黑产攻防为基础,兼论程序研发相关的技术点滴分享。 来自公众号:小道安全背景现在市面上对APP的安全合规管控越来越严格了,也就要求了APP在上架之前一定要做合规检测和加固处理。对APP就是加固的好处,可以提高APP的安全性,提高APP被逆向分析破解的门槛,同时通过加固保护可以提高过安全合规的检测。由于APP加固技术不断被攻破情况,因此加固技术也是不断在快速迭代的过程。现在市面上的加固产品的还是比较多的,并且各个加固技术产品都有其各自优缺点,但是加固产品的所采用技术去有很多共性的地方。
发布时间:2021-10-13 15:01 | 阅读:54534 | 评论:0 | 标签:app 加固 攻防

陌陌安全|App合规实践3000问

 “隐私”不知不觉间成了备受关注的高频词,随着《数据安全法》、《个人信息保护法》的正式 颁布,用户隐私问题再次被推向高点。那么面对监管的要求、用户的疑虑、渠道的审核,我们在设计一款App时需要考虑哪些合规问题点呢?下面我们从一些常见场景上逐个问题解答。TIP1.  隐私政策在11月1日即将正式实施的《个人信息保护法》中提到,“数据处理者需公开个人信息处理规则。”我们一般通过隐私政策,或者叫个人信息保护政策,采用“告知-同意”的方式来明确告知用户。
发布时间:2021-10-13 10:42 | 阅读:52447 | 评论:0 | 标签:app 合规 安全

Facebook、WhatsApp和Instagram 6小时无法访问

10月4日,来自全球各地的用户都报告称无法访问Facebook、WhatsApp和Instagram,访问这几个网站时会出现DNS_PROBE_FINISHED_NXDOMAIN错误——站点不可达的错误,并建议用户检查地址栏中输入的域名是否有错误。Facebook、WhatsApp和Instagram无法访问手机用户同样也报告称这一款APP无法正常使用,提示检查网络连接并稍后再试。目前,Facebook的.onion站点仍然无法访问,现实错误仍然是DNS_PROBE_FINISHED_NXDOMAIN 错误。
发布时间:2021-10-12 13:15 | 阅读:42777 | 评论:0 | 标签:app

App合规实践3000问

“隐私”不知不觉间成了备受关注的高频词,随着《数据安全法》、《个人信息保护法》的正式 颁布,用户隐私问题再次被推向高点。那么面对监管的要求、用户的疑虑、渠道的审核,我们在设计一款App时需要考虑哪些合规问题点呢?下面我们从一些常见场景上逐个问题解答。TIP1.  隐私政策在11月1日即将正式实施的《个人信息保护法》中提到,“数据处理者需公开个人信息处理规则。”我们一般通过隐私政策,或者叫个人信息保护政策,采用“告知-同意”的方式来明确告知用户。
发布时间:2021-10-12 10:31 | 阅读:48958 | 评论:0 | 标签:app 合规

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持·广告位💖

标签云