记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

工信部:对拒不接受整治的APP要坚决下架

在3月1日国务院新闻办公室举行的新闻发布会上,工业和信息化部部长肖亚庆在回答记者提出的关于APP数据隐私保护的问题时表示,在个人信息保护过程中,对拒不接受整治的APP要坚决下架。肖亚庆指出,中国政府历来高度重视个人信息保护问题,信息技术发展非常迅猛,由于我们实施包容审慎监管,鼓励创新,个人信息服务应用丰富多彩,群众在生活各方面得到了很多便利。但同时也要看到,监管在发展过程中,关于监管个人信息保护的技术还有不少需要迅速提高、迅速加强的地方。手机APP的数量非常大,有统计显示超过了350万,也有统计保守估计也有250万以上。
发布时间:2021-03-02 02:44 | 阅读:357 | 评论:0 | 标签:app

江苏南京:铁路警方破获麻将APP网络赌博,涉案赌资6000万!

收录于话题 文章来源:安全圈利用网络建群招赌将赌场从线下搬到线上设有组织者、会计、管理员三级共举办了13万多局网络赌博涉及赌资6000余万元案件回溯 2020年底,南京铁路公安处南京北站派出所接到市民张某的报警,称其根据朋友介绍,加入了一个名为“国粹爱好者”的微信群,该群内成员利用某款手机APP进行操作“南京麻将”的牌局,期间,他发现这不是一个普通的牌局游戏。随后,南京铁路警方高度重视,立即成立了专案组开展调查。
发布时间:2021-02-28 12:12 | 阅读:8732 | 评论:0 | 标签:app

如何保证APP与API通信安全,TOKEN冒用带来的风险很大?

TOKEN作为用户身份凭证并不能保证数据安全,别人通过抓包等方式很容易拿到TOKEN,带上TOKEN请求我们的API接口就能获取数据;其实换一个角度想:我们只需保证即使TOKEN被别人冒用,也不能调用我们API接口就行。分享一个前后端使用AES和RSA混合加密通信的方案。AES对称加密首先看一下AES加密的示意图:加密过程为:发送方(APP)使用密钥对参数明文进行AES加密获得密文,然后将密文和密钥一起发给接收方(服务端),接收方使用密钥对密文进行AES解密,得到参数明文。
发布时间:2021-02-27 15:38 | 阅读:9714 | 评论:0 | 标签:安全学院 app 安全

Apple 漏洞致谢数全球第一背后的新攻击面 & 一洞攻破 Safari

作者:光年公众号:蚂蚁安全实验室蚂蚁安全光年实验室从2020年4月份开始专注到 Apple 产品漏洞挖掘中,仅用了三个季度的时间,就累计拿下苹果47次致谢——致谢数排名2020年Apple漏洞致谢数全球第一。47次漏洞致谢中,包含了系统库、浏览器、内核等多个维度层面,几乎都是高危漏洞,部分漏洞评分达到了“严重”级别,挖掘的数量和质量都处于全球领先位置。2020年各大公司获得的苹果致谢次数排名以往对苹果Safari浏览器的漏洞研究往往聚焦于DOM或者JS引擎,但是像Safari所使用的一些系统库,例如音频库,视频库,字体库等等很少受到关注,鲜有这些模块的漏洞在Safari中利用成功的案例。
发布时间:2021-02-26 16:55 | 阅读:9427 | 评论:0 | 标签:漏洞 app 攻击

逆向分析iMessage:Apple如何利用硬件来保护软件

0x00 概述iMessage是整个Apple生态系统中广泛使用的安全消息传递应用程序和协议。由于对在其他平台上运行的iMessage原理感到好奇,我们使用了一种逆向工程的方式来探究iMessage的运行方式,并研究将其扩展到其他平台的可能性。本文的目标是说明Apple如何利用其硬件产品来保护其软件。为了对此进行探讨,我们将尝试通过Apple Push Notification(APN)直接在网络级别进行连接,并解决遇到的问题。在这个过程中,我们将使用流行的开源工具对macOS上apsd守护程序的一部分以及APN协议自身进行逆向工程。
发布时间:2021-02-25 15:20 | 阅读:5720 | 评论:0 | 标签:app 逆向

「GoTeam 招聘时间」得物APP Golang 后端工程师 (上海)

收录于话题 本期招聘企业——得物APP得物App是全球领先的集正品潮流电商和潮流生活社区于一体的新一代潮流网购社区。得物App在传统电商模式的基础上增加鉴别真假与查验瑕疵的服务,以强中心化平台定位深入管理把控全程:严格的商品上架标准、更公平的竞价交易机制、统一履约交付和尽心高效的客服沟通等流程体验。同时作为年轻人的潮流生活社区,得物App社区通过持续沉淀潮流话题内容,正在成为年轻用户的潮流风向标和发声阵地。得物App聚集了一大批热爱球鞋、潮品穿搭和潮流文化的爱好者,话题讨论集中在球鞋、潮牌、手办、街头文化、汽车腕表和时尚艺术等年轻人关注的热点话题。得物App正在成为中国潮流文化发展的土壤。
发布时间:2021-02-24 10:16 | 阅读:3696 | 评论:0 | 标签:app 招聘

针对以太坊Dapp攻击事件的全面评估

 以太坊去中心化应用程序(Dapps)的广泛使用带来了新的安全风险。据报告,这些Dapp受到来自网络罪犯的各种攻击以牟取暴利。本文中对现实世界的Dapps攻击进行了全面取证研究,以获取关键威胁情报(例如杀伤链),利用威胁情报提出了自动大规模地调查攻击事件的方法DEFIER。通过在104个以太坊Dapps的230万笔交易上面运行DEFIER,能够识别85个Dapps上的476,342笔被攻击交易,其中涉及75个0day受害Dapps和1.7万个先前未知的攻击者EOA,这是有史以来最大的以太坊链Dapp攻击事件数据集。
发布时间:2021-02-23 16:48 | 阅读:6236 | 评论:0 | 标签:app 攻击

黑客滥用Google Apps Script 绕过CSP来窃取信用卡信息

研究者发现攻击者正滥用Google Apps Script开发平台来窃取电子商务网站客户在在线购物时提交的信用卡信息。Google Apps Script(也称为Google Script)是一个应用程序开发平台,可让你集成所有使用的Google Cloud服务。Google为每个云服务提供了一长串API。通过编写非常简单的Google应用程序,你可以在Google的众多服务中打开整个世界的附加功能。
发布时间:2021-02-22 12:35 | 阅读:6245 | 评论:0 | 标签:app 黑客

黑客也要“与时俱进”?研究发现首个针对Apple M1芯片的Mac恶意软件

近日,研究发现黑客开始将目光转向苹果最新的M1芯片(M1 SoC),开发了首个针对该芯片的恶意广告分发应用程序GoSearch22。据了解,该芯片在其最新一代的MacBook Air、MacBook Pro和Mac mini设备中均有应用。科技在与时俱进,设备系统在不断升级换代,恶意软件也在“追赶变化”。在苹果发布M1 SoC三个月后,黑客也开发了首个针对M1内部芯片的恶意MacOS应用程序——GoSearch22。GoSearch22可在装有M1芯片的本机上运行。Apple M1于11月推出,是Apple设计的首款基于ARM的芯片,现已成为其Mac设备的中央处理单元。
发布时间:2021-02-19 17:28 | 阅读:12682 | 评论:0 | 标签:app 黑客 mac

IOS自签神器Sideloadly(APP多开)

收录于话题 Editor's Note 福利表哥新年快乐! 九河下稍的安全日记 Author I某N 九河下稍的安全日记 九河下稍天津卫,三道浮桥两道关。 几个废物决定再次利用下自己,再散发一些余热。 点击上方蓝字光柱我们准备工作电脑、数据线、下载Sideloadly教程开始电脑下载Sideloadly就不用说了,目前只有Windows版本打开软件Sideloadly,手机连接电脑,把iPA拖入软件左侧方框,右侧输入Apple ID(如果不放心,可以注册个Apple小号,然后点击start,等待软件显示100% Done就安装完成了。
发布时间:2021-02-11 15:59 | 阅读:45157 | 评论:0 | 标签:iOS app ios

项目实战 | 记一次对恶意流氓app的渗透

收录于话题 安译Sec Author crispr 安译Sec 民间组织“只白不黑灰”,为技术传播而默默努力。没有网络安全就没有国家安全,共建网络空间你与我 声明:本文仅限于技术讨论与分享,严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负,与本号及原作者无关。
发布时间:2021-02-09 20:18 | 阅读:16871 | 评论:0 | 标签:app 渗透

着重治理App过度索权 工信部将出台新规保护个人信息

收录于话题 工信部介绍,正在起草的《移动互联网应用程序个人信息保护管理暂行规定》明确了知情同意和最小必要两项个人信息保护基本原则,知情同意原则要求从事App个人信息处理活动,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分支持的前提下作出自愿、明确的意思表示。最小必要原则要求从事App个人信息处理活动,应当具有明确合理的控制,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。工信部副部长刘烈宏指出,工信部将进一步完善《移动互联网应用程序个人信息保护管理暂行规定》,加快文件出台进程。
发布时间:2021-02-09 02:19 | 阅读:18894 | 评论:0 | 标签:app 安全

宅男必备无限制安卓app苹果app美女主播推荐合集

宅男最爱的各种app下载福利资源宅男必备版,软件拥有超多丰富的影视资源ios无限看最新版是一款可以看宅男视频的老司机看片神器,汇集了超多的福利视频,等你来免费下载。无限制观看。抖音短视频d2app苹果版无限制版和其他美女直播软件不同的是,成抖音短视频d2app苹果版无限制版每一个主播都是特别性感并且开放的,为平静的深夜带来无限的活力,不怕你找不到自己喜欢的美女。成抖音短视频d2app苹果版无限制版每天24小时都有美女轮番在线直播,喜欢看什么样的美女直播随意挑,而且保证都不会让你失望的。
发布时间:2021-02-08 21:00 | 阅读:29247 | 评论:0 | 标签:app

工信部通报26款侵害用户权益行为APP 涉及违规调用麦克风、通讯录、相册等权限

收录于话题 扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786关于违规调用麦克风、通讯录、相册等权限侵害用户权益行为的APP通报(2021年第2批,总第11批)针对近期社会关注的麦克风、通讯录、相册权限问题,依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,结合《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号),工业和信息化部组织第三方检测机构对手机应用软件进行检查,督促存在问题的企业进行整改。截至目前,尚有26款APP未完成整改(详见附件),上述APP应在2月10日前完成整改落实工作。
发布时间:2021-02-07 14:22 | 阅读:8987 | 评论:0 | 标签:app

工信部组织召开APP个人信息保护监管座谈会

2月5日,APP个人信息保护监管座谈会在京召开。工业和信息化部党组成员、副部长刘烈宏出席会议并讲话。会议通报了近期APP个人信息保护工作情况。针对APP过度索取麦克风、相册、通讯录等权限问题,工业和信息化部专题开展技术检测,对发现存在问题的179款APP提出了责令限期整改,对其中未按期整改的26款APP予以公开通报。会议介绍了正在起草的《移动互联网应用程序个人信息保护管理暂行规定》有关情况,与会专家学者和企业负责人进行了研讨交流。电信终端产业协会发布了9项《APP收集使用个人信息最小必要评估规范》系列标准。
发布时间:2021-02-06 10:00 | 阅读:21257 | 评论:0 | 标签:app

工信部通报26款侵害用户权益行为APP:涉及违规调用麦克风、通讯录、相册等权限

关于违规调用麦克风、通讯录、相册等权限侵害用户权益行为的APP通报(2021年第2批,总第11批)针对近期社会关注的麦克风、通讯录、相册权限问题,依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,结合《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号),我部组织第三方检测机构对手机应用软件进行检查,督促存在问题的企业进行整改。截至目前,尚有26款APP未完成整改(详见附件),上述APP应在2月10日前完成整改落实工作。逾期不整改的,我部将依法依规组织开展相关处置工作。
发布时间:2021-02-05 16:01 | 阅读:22492 | 评论:0 | 标签:app

AppLocker绕过之路

前言 在提权中我们经常会遇到目标开启了Applocker的情况,本文将以https://github.com/api0cradle/UltimateAppLockerByPassList为参考,讲解Applocker的绕过技术。 这不仅仅是一个applocker的bypass文章,也是一个白名单利用文章。 (若无特殊说明,实验环境一律为windows server 2012 r2) 什么是applocker AppLocker即“应用程序控制策略”,是Windows 7系统中新增加的一项安全功能。
发布时间:2021-02-05 15:02 | 阅读:9796 | 评论:0 | 标签:漏洞 APP AppLocker c# dll Locker Metasploit ShellCode Msbuild.

对App举报信息的总结与举报受理工作的思考

App个人信息举报平台建立以来,得到了社会各界的关注,目前举报平台共有近50000个用户关注,经统计,每月都会收到约2000余条的举报信息,截止到现在共收到举报信息33000余条,涉及6000余款App。App治理工作组通过核验举报信息,针对确实存在典型问题、下载量大的App,进行检测评估、问题通报、督促整改。为更好向举报用户和广大网友反馈信息,本文将对举报信息进行整理和分析,并提出针对举报受理工作的思考。
发布时间:2021-02-05 10:53 | 阅读:10291 | 评论:0 | 标签:app

App会“偷听”?实验结果来了

收录于话题 关键词大数据大数据“杀熟” 会员配送费高于非会员不久前,一篇质疑某外卖平台运用算法进行“杀熟”的文章引发热议。该平台的一位会员用户指出,同样的订单,他的配送费定价时常比非会员用户的更高。肖先生:经常点同一家的外卖,忽然有一天我开了会员之后,发现配送费价格一下较之前涨出三倍。开了会员之后,反而比非会员价格还要高,那我开会员的意义在哪。文章引发热议后,相关外卖平台联系了肖先生,针对他提出的质疑,平台方给出的回复是:配送费上的价格差异是由于系统缓存而导致的误差。肖先生:我尝试了很多次,在一周之内都是这种情况。缓存的说法肯定说不过去。
发布时间:2021-02-02 08:30 | 阅读:10067 | 评论:0 | 标签:app 安全

APP精准推送广告是手机被监听了吗?专家说出了真相

相信很多人都遇到过这种情况:刚和家人聊起火锅,各种APP就频繁推荐餐厅、食材;刚和朋友说到健身计划,转眼间网购平台就给你推荐各种健身用品.....这些APP是如何知道我们的需求,难道我们的手机被“监听”了?从技术上,手机监听能实现吗?据央视报道,专家实验显示,手机监听在技术层面可以实现,锁屏后也能持续录音一段时间;但成本高、效率低、法律风险大,尚未发现有APP这样做。既然没有APP“偷听”的方式,那根据用户需求精准推荐,是如何做到的呢?专家表示,APP可以把一个用户做成360度的画像,它是一个常年累积的结果;此外,还有多个渠道汇聚的结果。
发布时间:2021-01-30 21:28 | 阅读:14054 | 评论:0 | 标签:安全报 app

【讨论】公司APP被仿冒遭到投诉,怎么处理比较有效?

收录于话题 近期,【金融业企业安全建设实践群】针对公司 APP 被仿冒遭到投诉展开了讨论,出了一些落地的思路和经验。我们将大家的讨论内容整理成此文分享,希望可以帮助到有同样痛点的同行:Q:请教,公司 APP 被仿冒遭到投诉,怎么处理比较有效?向网安报案?A1:这个可以从几方面开展:1、购买 CNCERT 的钓鱼网站和仿冒 APP 监测处置服务,向 CNCERT 上报;2、联系应用市场,让伪冒 APP 下架;3、把信息反馈给本公司的法务,在官方网站发声明;4、收集下是否有客户资金受到损害,如果有可以联合受害者去属地的公安机关报案。
发布时间:2021-01-30 18:51 | 阅读:13077 | 评论:0 | 标签:app

Cardpliance: PCI DSS Compliance of Android Applications

作者:Samin Yaseer Mahmud*, Akhil Acharya*, Benjamin Andow†, William Enck*, and Bradley Reaves* 单位:*North Carolina State University, †IBM T.J. Watson Research Center 出处:USENIX 2020
发布时间:2021-01-28 18:58 | 阅读:10230 | 评论:0 | 标签:Android app android

Why Eve and Mallory Still Love Android: Revisiting TLS (In)Security in Android Applications

作者:Marten Oltrogge,Nicolas Huaman,Sabrina Amft,Yasemin Acar,Michael Backes,Sascha Fahl 单位:CISPA Helmholtz Center for Information Security,Leibniz University Hannover 会议:U
发布时间:2021-01-28 18:58 | 阅读:13572 | 评论:0 | 标签:Android app android

CVE-2020-27897:APPLE MACOS内核OOB写入权限提升漏洞

收录于话题 更多全球网络安全资讯尽在邑安全漏洞概述就在前几天,Zero Day Initiative曾发布过六份关于苹果macOS中安全漏洞的公告,其中有一条公告涵盖了一个由 ABC Research s.r.o报告的安全漏洞,这个漏洞是苹果硬件GPU的设计缺陷,这也是他们所提交的众多macOS漏洞的其中一个。现在,这些漏洞已经在Big Sur中被修复了,因此在这篇文章中,我们将详细介绍关于漏洞ZDI-20-1403/CVE-2020-27897的细节信息,而这个漏洞将有可能允许攻击者实现提权并在内核上下文场景中执行任意代码。
发布时间:2021-01-27 16:22 | 阅读:10362 | 评论:0 | 标签:漏洞 app CVE mac

WhatsApp因违反GDPR面临最高5000万欧元罚款

ITPro网站1月25日消息,根据爱尔兰数据保护监管机构做出的初步判决,WhatsApp因违反GDPR规定将面临最高5000万欧元(约合4400万英镑)的罚款。根据爱尔兰数据保护委员会(DPC)的调查结果,WhatsApp未能正确告知欧盟用户其如何与Facebook共享数据,在透明性要求上未达标。该判决于2020年12月确定,然后发送给欧洲其他数据监管机构进行评估。Politico网站表示,WhatsApp可能会受到迄今为止最大的GDPR处罚之一,罚款可能在3000万至5000万欧元之间,而WhatsApp可能需要更改其处理用户数据的方式。
发布时间:2021-01-27 16:16 | 阅读:14658 | 评论:0 | 标签:app

App隐私合规简论

 0x00. 引言2020年,个人信息保护与信息安全领域的法律法规及行业标准呈爆发式发布。而App隐私合规依旧是老生畅谈的话题,延续2019年,2020年有关部门针对App个人信息侵权专项治理成立专项治理工作组,对三十万余App进行检测,对涉及违规 APP 通过通报、约谈、整改、下架等处罚形式,通过深度治理与曝光形式,达到改善 APP 的个人信息安全问题。工信部副部长刘烈宏2020年11月27日在工信部召开的全国App个人信息保护监管会上表示“工信部将加大力度,从2021年初继续开展为期半年的专项整治,对有令不行、整改不彻底、反复出现问题、搞技术对抗的企业和App严厉处置。
发布时间:2021-01-26 17:49 | 阅读:18300 | 评论:0 | 标签:app 合规

南京女子疑遇AI换脸被骗钱 记者调查:多款换脸App可轻松换脸

收录于话题 更多全球网络安全资讯尽在邑安全近日在南京,一女子疑遇AI换脸被骗3000元,虽然被骗数额不大,但换脸背后的隐患却让人捏了一把汗。现代快报记者发现,市面上仍有多款App可轻松实现换脸。AI换脸作为一种新兴科技,此前缺少专门的法律法规对其约束。但民法典实施后,已经将AI换脸纳入肖像权的保护范围。事件“同学”借钱找上门,发来短视频证明是“本人”1月10日,来自东北的小李和妈妈来到南京旅游。这时,她的大学同学小王通过QQ联系了她,并说自己的表姐生病住院了,急需用钱。小王称自己的银行卡被冻结了,但表姐生病急需用钱,所以想向小李借点钱。小李并没有第一时间转账,而是想先确认小王的身份。
发布时间:2021-01-26 12:07 | 阅读:11464 | 评论:0 | 标签:app AI

APP隐私安全浅谈

收录于话题 1.隐私数据是什么   个人可标识数据(PII):如社会安全号码,数据组合(如名字+出生日期或姓氏+邮政编码)或用户生成的数据(如电子邮件或用户名,如bywang@thoughtworks.com),手机号。
发布时间:2021-01-25 20:42 | 阅读:17663 | 评论:0 | 标签:app 安全

APP抓不到包及问题解决方法

收录于话题 #移动安全 3个 00—前言    一般情况下手机在安装了burpsuite的伪证书后,是可以抓大部分APP数据包的。但是也会会遇到一些APP是不能通过burpsuite抓包的情况。    这种现象往往表现在burpsuite没有拦截到任何数据请求信息,且在客户端返回类似“服务器连接错误”等提示。
发布时间:2021-01-25 18:08 | 阅读:21180 | 评论:0 | 标签:app

App分发平台专题研究报告

1. 背 景中国互联网络信息中心(CNNIC)在京发布第46次《中国互联网络发展状况统计报告》,显示,截至2020年6月,我国网民规模达9.40亿,近9亿网民中手机上网比例高达99.1%,据不完全统计,移动互联网应用商店上架推广的App有近400万款,总下载量超万亿次。用户每天在各类App上均花费时长达4.9小时,占用户日均上网时长的81.7%。App的广泛应用,在促进经济社会发展、服务民生等方面发挥着不可替代的作用。随着移动互联网的快速发展,应用商店的盈利主要来自两方面,用户付费下载和开发商付费推广。
发布时间:2021-01-25 13:35 | 阅读:11769 | 评论:0 | 标签:app

公告

❤人人都能成为掌握黑客技术的英雄⛄️

🧚 🤲 🧜

标签云