记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

APP合规实践3000问之三

 随着陆续出台的一系列规定要求,监管粒度在持续更新和细化,包括41391《移动互联网应用程序(APP)收集个人信息基本要求》(以下简称《基本要求》)、网信发布的《应用程序信息服务管理规定》、《用户账号信息管理规定》以及工信即将修订的《电信和互联网用户个人信息保护规定》,我们现在就来逐一聊一聊~Q1 GB/T41391-2022 《信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求》概述4月发布的《基本要求》即将于11月1日正式实施,这项标准作为APP个人信息保护方面的国家标准,明确了收集个人信息、必要个人信息的基本规定,包含告知用户同意、获取系统权限及第三方收集管理等要求。
发布时间:2022-08-16 17:56 | 阅读:48061 | 评论:0 | 标签:app 合规

超大城市交通出行App个人信息合规评估实践

今天,我们用App进行网络购物、订票、美食、生活资讯、地图、旅行、天气、导航、健康、看电影等,App已经渗透到人们的衣食住行各个方面,彻底改变了现代人的日常工作生活习惯。与此同时,App乱象丛生。其中,过度收集用户个人信息、隐私条款不完善或缺失情况严重等问题成为消费者最大的困扰之一。于是,国家从立法、监管、治理等方面展开行动。APP开始踏上一条被监管、治理,满足合规的求生存、谋发展之路。作为出行必备,交通App在后疫情时代发挥的作用越来越大,这类APP收集使用了大量个人隐私和敏感信息,如个人基础信息、个人轨迹信息、个人生物识别信息等,与此同时,交通App违法、违规收集使用个人信息问题开始凸显。
发布时间:2022-08-16 12:13 | 阅读:37897 | 评论:0 | 标签:app 合规

新型 Linux 僵尸网络 RapperBot 暴力破解 SSH 服务器

近日,FortiGuard实验室的研究人员发现了一种新型物联网(IoT)僵尸网络“RapperBot”,自2022年6月中旬以来就一直处于活动状态。 该僵尸程序从原始Mirai僵尸网络中借用了大部分代码,但与其他IoT恶意软件家族不同,它实现了一种内置功能来暴力破解凭据并获得对SSH服务器(而非在Mirai中实现的Telnet)的访问权限。 专家们还注意到,最新的样本包括保持持久性的代码,这在其他Mirai变体中很少实现。 RapperBot具有有限的DDoS功能,它旨在针对ARM、MIPS、SPARC和x86架构。
发布时间:2022-08-10 11:09 | 阅读:136027 | 评论:0 | 标签:安全快讯 网络安全 Linux RapperBot 暴力破解 linux app 僵尸网络 SSH 破解 网络

工信部:2022年第二季度组织检测57万款APP,责令整改358款

2022年8月2日,工业和信息化部通告2022年第二季度电信服务质量情况。《通告》从电信服务重点工作情况、电信用户投诉申诉情况、经营及消费提示等三方面,对2022年第二季度电信服务质量有关情况进行了介绍。根据《中华人民共和国电信条例》相关规定,现将2022年第二季度电信服务有关情况通告如下:一、电信服务重点工作情况(一)部署进一步规范电信服务工作。印发《工业和信息化部关于进一步规范电信服务有关事项的通知》,组织召开全国视频宣贯会,着力规范电信业务营销行为,改善携号转网服务,确保电信服务平稳有序。
发布时间:2022-08-05 16:55 | 阅读:253206 | 评论:0 | 标签:app

数以千计的APP正在泄露Twitter的API密钥

来自印度CloudSEK的安全研究人员表示,他们已经确定共有3207个移动应用程序泄露了有效的Twitter用户密钥和密钥信息。大约230个应用程序被发现泄露了OAuth访问令牌和访问机密。这些信息为攻击者提供了访问用户Twitter帐户并执行各种操作的机会,包括:阅读信息代表用户转发、点赞或删除消息删除关注者或关注新帐户修改账户设置,例如修改头像研究人员将该问题归因于应用程序开发人员在开发过程中将身份验证凭据保存在其移动应用程序中,以便与Twitter的API进行交互。后者为第三方开发人员提供了一种将Twitter的功能和数据嵌入到他们的应用程序中的方法。
发布时间:2022-08-04 13:59 | 阅读:245761 | 评论:0 | 标签:app 泄露 API

3200 App泄露推特API密钥,可实现账户劫持

超过3200个App泄露推特API密钥,可实现账户劫持。网络安全公司CloudSEK研究人员发现有3207个手机APP暴露了推特API密钥,攻击者利用暴露的推特API密钥可以接管与该APP关联的用户推特账户。背景 在开发手机APP过程中,可以将推特功能融入到手机APP中,具体来说,开发者会拥有一个特殊的认证密钥或token,允许手机APP与推特API进行交互。当用户将推特账户与手机APP关联时,该密钥就可以让APP以用户的身份进行操作,比如通过推特登录、创建新推文、发送推文等。有了认证密钥后,任何人都可以以相关的推特用户身份来执行动作,因此不建议将密钥直接保存在手机APP中。
发布时间:2022-08-04 12:01 | 阅读:248004 | 评论:0 | 标签:app 泄露 API

价值3.6 万美元的Google App Engine RCE

#谷歌 1 个 #google 7 个 #美元 2 个 #挖洞姿势 3 个 #云安全 92 个 本文为译文,原文链接为:https://www.ezequiel.tech/p/36k-google-app-engine-rce.html我是如何发现漏洞的前段时间,我偶然发现每一个谷歌应用引擎(GAE)的应用程序都会用"X-Cloud-Trace-Context "头来响应每个HTTP请求,所以我认为返回该响应头的网站都可能运行在GAE上。
发布时间:2022-08-03 22:48 | 阅读:238409 | 评论:0 | 标签:app Google RCE

对APP逆向抓包的实践

背景基础 在对某音国际版的APP抓包分析数据过程中,发现该APP使用了自定义的SSL框架,这就大大提高直接利用现有的框架抓包分析的成本。 现成的Xposed框架的JustTrustMe模块、frida框架的r0capture脚本均无法正常抓包。因为在于这些模块脚本,主要针对的是系统原生的SSL框架,而该APP采用自定义了自己的SSL框架。那么如果我们需要对APP进行抓包的话,就需要过掉该APP的检测机制从而实现抓包数据分析。 下面从SSL框架原理,以及通过两个方式实现对APP正常抓取数据包功能。
发布时间:2022-08-03 18:38 | 阅读:264206 | 评论:0 | 标签:APP HOOK功能函数 SSL框架 抓包 逆向 app

蔡英文办公室官网遭攻击;微博网站和APP昨夜全线崩溃:内容无法打开、热搜消失;

蔡英文办公室官网遭攻击中国台湾网8月2日讯 据台媒报道,蔡英文办公室发言人张惇涵今(2日)晚间表示,今天下午约17:15分起,蔡英文办公室官网遭受境外分布式拒绝服务攻击(DDoS),攻击流量为平日的200倍,导致官网一度无法显示。经处置后,已恢复正常运作。微博网站和APP昨夜全线崩溃:内容无法打开、热搜消失8月2日晚间,微博网站和APP接连突然出现宕机,大量网友反映微博热搜榜内容已消失,界面提示“加载失败,请重试”。今日凌晨,#微博崩了#登上微博热搜。对于崩溃原因,新浪微博方面暂未进行回复。历史上,微博曾出现多次宕机,最常见的是微博因明星演员宣布婚讯、恋情等出现过宕机。
发布时间:2022-08-03 10:59 | 阅读:266325 | 评论:0 | 标签:app 攻击

House of apple 一种新的glibc中IO攻击方法

#“雪花”创作激励计划 130个 本文为看雪论坛优秀文章看雪论坛作者ID:roderick01一前言之前提出了一种新的IO利用方法 house of apple(https://bbs.pediy.com/thread-273418.htm)。本篇是house of apple1的续集,继续给出基于IO_FILE->_wide_data的利用技巧。
发布时间:2022-08-02 19:49 | 阅读:216634 | 评论:0 | 标签:app 攻击

干货|APP渗透测试流程和技巧大全

App安全学习项目项目地址:https://github.com/Brucetg/App_SecurityAndroid 渗透测试学习手册项目地址:https://wizardforcel.gitbooks.io/lpad/content/Android 渗透测试基础入门
发布时间:2022-08-02 01:46 | 阅读:237453 | 评论:0 | 标签:app 渗透

安徽省通信管理局关于侵害用户权益APP的通报

安徽省通信管理局关于侵害用户权益APP的通报依据《中华人民共和国网络安全法》《中华人民共和国电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照工信部有关工作部署,安徽省通信管理局近期对省内APP进行了拨测检查,共检测到29款APP存在违法违规收集使用个人信息的问题,于2022年7月14日对上述违规APP企业下达了责令改正通知书,要求限期完成整改工作。截至目前,尚有14款APP存在未整改问题(详见附表),相关APP企业应在8月5日前落实整改。逾期不整改的,安徽省通信管理局将依法依规组织开展相关处置工作。
发布时间:2022-08-01 11:01 | 阅读:202419 | 评论:0 | 标签:app

安徽省通信管理局关于侵害用户权益APP的通报

扫码订阅《中国信息安全》杂志邮发代号 2-786征订热线:010-82341063安徽省通信管理局关于侵害用户权益APP的通报依据《中华人民共和国网络安全法》《中华人民共和国电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照工信部有关工作部署,安徽省通信管理局近期对省内APP进行了拨测检查,共检测到29款APP存在违法违规收集使用个人信息的问题,于2022年7月14日对上述违规APP企业下达了责令改正通知书,要求限期完成整改工作。截至目前,尚有14款APP存在未整改问题(详见附表),相关APP企业应在8月5日前落实整改。逾期不整改的,安徽省通信管理局将依法依规组织开展相关处置工作。
发布时间:2022-07-31 22:54 | 阅读:246155 | 评论:0 | 标签:app

这些App涉嫌超范围采集个人隐私信息

国家计算机病毒应急处理中心近期通过互联网监测发现17款移动App存在隐私不合规行为,违反网络安全法、个人信息保护法相关规定,涉嫌超范围采集个人隐私信息。未向用户告知个人信息处理者的名称或者姓名和联系方式,或处理的个人信息种类、保存期限,涉嫌隐私不合规。涉及4款App如下:《杜绍斐 DUSHAOFEI》(版本3.1.1,应用宝)《觅上》(版本3.5.1,豌豆荚)《乐业天空》(版本2.9.20,360手机助手)《海豚家》(版本2.9.7,百度手机助手)未向用户明示申请的全部隐私权限,涉嫌隐私不合规。
发布时间:2022-07-29 16:49 | 阅读:305167 | 评论:0 | 标签:app 隐私

专题·云安全将来时 | 云原生应用程序保护平台(CNAPP)技术浅析

扫码订阅《中国信息安全》杂志邮发代号 2-786征订热线:010-82341063文│迪普科技 孙健 仇俊杰随着组织从本地模式发展到以云为中心的思维方式,传统的直接迁移方法在很大程度上变得不可行。云环境下许多资产是动态和短暂的,传统安全方法通常无法管理容器和无服务器环境。因此,云环境下安全的孤岛、差距和整体复杂性会增加。业务上云已经成为组织数字化转型的必由之路。云原生作为下一代云计算已经成为业界趋势,相关的技术、产品、标准和解决方案以及生态系统都已在同步扩张之中。云原生技术应用的不断增加也带来了新的云安全需求和挑战,如何在云原生市场中确保业务安全,是企业当前面临的极大挑战。
发布时间:2022-07-23 19:53 | 阅读:201658 | 评论:0 | 标签:app 安全 保护

研究人员发现了以前未记录的间谍软件,称为 CloudMensis,它针对 Apple macOS 系统。

ESET 的研究人员发现了一个以前未被检测到的 macOS 后门,被跟踪为 CloudMensis,它针对 macOS 系统并专门使用公共云存储服务作为 C2。该恶意软件旨在监视目标系统、窃取文档、获取击键和屏幕截图。CloudMensis 是在 Objective-C 中开发的,ESET 分析的样本是针对 Intel 和 Apple 架构编译的。专家们尚未确定受害者最初是如何被此间谍软件破坏的。“但是,我们了解到,当获得代码执行和管理权限时,接下来是一个两阶段的过程,第一阶段下载并执行功能更强大的第二阶段。” 阅读ESET 发布的报告。
发布时间:2022-07-21 16:52 | 阅读:171826 | 评论:0 | 标签:app mac 间谍

Apple 为所有设备发布安全补丁,修复数十个新漏洞

苹果周三推出了适用于 iOS、iPadOS、macOS、tvOS 和 watchOS 的软件修复程序,以解决影响其平台的许多安全漏洞。这包括至少 37 个跨越 iOS 和 macOS 中不同组件的缺陷,范围从特权升级到任意代码执行,从信息泄露到拒绝服务 (DoS)。其中最主要的是 CVE-2022-2294,这是 WebRTC 组件中的一个内存损坏漏洞,谷歌本月早些时候披露,该漏洞已在针对 Chrome 浏览器用户的实际攻击中被利用。但是,没有证据表明针对 iOS、macOS 和 Safari 的漏洞进行了零日漏洞利用。
发布时间:2022-07-21 16:52 | 阅读:241708 | 评论:0 | 标签:漏洞 app 安全

实战|从app渗透到网站沦陷

分享一下今天对某app进行渗透测试,从基础的信息收集到拿到网站的shell。总体来是还是很简单的,也没什么技术含量使用模拟器挂上代理并对app进行抓
发布时间:2022-07-21 11:00 | 阅读:138517 | 评论:0 | 标签:app 渗透

App Store 存在大量欺诈应用 数百万 iOS 用户受影响

苹果官方表示每天审核超过 10 万款新应用和应用更新申请,而严苛的审查制度让其只有 60% 可以通过上架。即便如此,App Store 依然充斥着大量欺诈类应用,为这些应用的开发者带来大量收入的同时,由于 30% 的佣金让苹果也分得其中一杯羹。 欺诈类应用并不是新鲜事物,Google 和苹果尚未开发出有效的手段来遏制它们的发展。根据最新的预估统计数据,近些年通过欺诈类应用开发者从受害者身上夺取了超过 4 亿美元的资金。 有别于恶意软件,欺诈类应用并不会接管你的设备也不会窃取你的信息,这也是为何它们能够上架应用商城的重要原因。而且这些应用通常会提供一些实用的功能,从而让这些恶意应用看起比较正规。
发布时间:2022-07-20 17:00 | 阅读:127745 | 评论:0 | 标签:网络欺诈 iOS 欺诈应用 app ios Tor

CVE-2022-26706 macOS App沙箱逃逸漏洞

微软研究人员发现macOS App沙箱逃逸漏洞。微软研究人员Jonathan Bar Or在检测macOS系统上微软office恶意宏时发现了macOS App沙箱逃逸漏洞,漏洞CVE编号为CVE-2022-26706。攻击者利用该漏洞可以构造代码来绕过APP沙箱,在系统上无限制的运行。macOS App Sandbox原理macOS apps可以指定操作系统的沙箱规则,并强制执行。APP沙箱将系统调用限制为一个允许的子集,系统调用根据文件、对象、参数来具体确定是否允许。沙箱的规则表明这类操作应用可以做或不可以做,与运行应用的用户类型无关。
发布时间:2022-07-20 14:53 | 阅读:199532 | 评论:0 | 标签:漏洞 app CVE mac

专家发现针对 Apple macOS 用户的新 CloudMensis 间谍软件

Hackernews 编译,转载请注明出处: 网络安全研究人员揭开了一个此前未被记录的间谍软件的神秘面纱,该软件针对的是Apple macOS操作系统。 这款名为CloudMensis的恶意软件由Slovak网络安全公司ESET开发,据称它专门使用pCloud、Yandex Disk和Dropbox等公共云存储服务来接收攻击者的命令和窃取文件。 CloudMensis是用Objective-C编写的,于2022年4月首次发现,旨在攻击英特尔和苹果的硅架构。攻击和目标的最初感染媒介仍然未知。但其分布非常有限,这表明该恶意软件是针对相关实体的高度针对性行动的一部分。
发布时间:2022-07-20 14:03 | 阅读:115055 | 评论:0 | 标签:恶意软件 Apple macOS CloudMensis 间谍软件 app mac 间谍

获取海康所有摄像头appkey-Secret用法

前言        首发在知识星球,没想到有这么多表哥来交流。1        最近遇到海康多一点,但是无法直接进后台。发现很多js会存在泄漏key和secret可以直接访问到摄像头。不止一次遇到。1js发现进行js多次查看发现存在jsconfig的调用。又比如burp中某一个js请求包。
发布时间:2022-07-19 16:58 | 阅读:181058 | 评论:0 | 标签:app

《App违法违规收集使用个人信息监测分析报告》

2021年,国家计算机网络应急技术处理协调中心(CNCERT)与中国网络空间安全协会共同建立了App收集使用个人信息监测平台、App举报受理平台。近期,CNCERT会同网安协会对前期专项治理和平台监测发现的App违法违规收集使用个人信息问题进行了总结梳理,对问题特点和趋势进行了深入分析,形成了关于App收集使用个人信息情况的监测分析报告。报告主要分为两个部分:一是App收集使用个人信息总体状况。从9个方面进行态势分析和问题阐述,包括依法治理、强制收集、超范围收集、知情同意、隐私政策、明示告知、SDK收集、账号注销、社会监督等。二是工作建议。
发布时间:2022-07-18 19:49 | 阅读:109204 | 评论:0 | 标签:app 分析

70款未完成整改APP被广东省通信管理局点名

依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,按照工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)等工作部署,广东省通信管理局持续开展APP隐私合规和数据安全专项整治行动,近期共监测发现272款APP存在侵害用户权益和安全隐患问题,发出《违法违规APP处置通知》责令APP运营者限期整改,并通知相关应用商店协助督促APP运营者整改。截至目前,尚有70款APP未完成整改(详见附件),现予以公开通报。
发布时间:2022-07-18 16:54 | 阅读:96940 | 评论:0 | 标签:app

对一个手游修改器锁机APP的分析

 背景在网络上搜索到了一款号称可以无视市面上,任何手游反外挂检测的手游数据修改器。于是就进行下载分析(使用或分析这种未知风险的APP,建议都在模拟器上进行操作,因为你不知道这APP是否有危害,在模拟器上运行,如果出问题了,顶多就是删除模拟器然后重新再来,如果再手机上运行,那么这个就可能需要你进行刷机才可解决。),在模拟器上安装完APP,点击启动APP然后就出现了下面的一幕。屏幕被锁了,界面还带有极具讽刺的文字。我这个小曝脾气怎么能忍呢,随手就把模拟器给删除了(让你锁不了),然后重新创建个模拟器就开始进行下面分析了。
发布时间:2022-07-18 11:04 | 阅读:103200 | 评论:0 | 标签:app 分析

警惕 | 千万别下载假冒金融APP,有人被骗数十万元!

扫码订阅《中国信息安全》杂志邮发代号 2-786征订热线:010-82341063近期国家互联网信息办公室反诈中心(以下简称反诈中心)监测发现多起假冒投资平台进行诈骗的事件一、假冒京东金融、马上金融、360借条等金融类APP的骗局泛滥假冒金融类APP特点反诈中心监测发现,诈骗分子假冒京东金融、马上金融、360借条等平台,推出大量“李鬼”式APP,以相似标志和产品介绍以假乱真,以“小额返利”等诱导网民进行访问下载,进而实施诈骗。
发布时间:2022-07-08 22:46 | 阅读:198403 | 评论:0 | 标签:app 金融

对小绵羊的轰炸APP逆向分析

 背景在网络上意外看到一款叫小绵羊的轰炸机APP,经过下载安装(这种未知风险的APP建议都在模拟器上去安装验证和分析功能,有安全风险问题模拟器删除即可)后确认,只要在APP界面的编辑框中输入手机号码,就可以进行对指定手机号码进行短信狂轰炸的效果的(已用自己测试号码验证过效果)。下面就以开发者角度进行解析下这个APP的功能的实现原理。
发布时间:2022-07-08 11:03 | 阅读:181876 | 评论:0 | 标签:app 逆向 分析

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁