记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

在 Play Store 被下载数千次的《鱿鱼游戏》App 其实是恶意软件

韩剧鱿鱼游戏Squid Game让互联网火了起来。随着Netflix的热播,人们急于下载与该韩剧有关的一切东西,包括谷歌Play Store中的一款壁纸应用,其中包含了恶意软件。 目前还没有官方的Squid Games应用程序,然而ESET的Android恶意软件研究员Lukas Stefanko在Twitter上说,Play Store上有超过200个与该系列有关的应用程序,其中就有Google保障措施还没有检测到的恶意软件,其中包括一款鱿鱼游戏壁纸应用。安全研究人员对其进行了分析,他们都认为这款鱿鱼游戏壁纸应用内置了一种Joker恶意软件。
发布时间:2021-10-22 12:24 | 阅读:2046 | 评论:0 | 标签:恶意软件 Play Store 鱿鱼游戏 app

一年白干!程序员赵某仿制老东家APP,获取服务器数据,被判4年6个月

来自公众号:程序人生整理:王晓曼近日,中国裁判文书网公布了一起非法获取计算机信息系统数据的案件。这则由北京市朝阳区人民法院发出的刑事判决书显示,被告人赵某某犯非法获取计算机信息系统数据罪,判处有期徒刑四年六个月,并没收被告人所缴纳的在案款。1、案情梳理被告人赵某某于2015年6月入职北京宽客网络技术有限公司(以下简称宽客公司),负责“音悦台”APP iOS端开发及在苹果商店上架相关事宜,后于2017年5月离职。“音悦台”APP可通过收取会员费、植入广告等赢利,该APP于2018年八、九月份因故下线。
发布时间:2021-10-21 22:57 | 阅读:3283 | 评论:0 | 标签:app

一名来自加利福尼亚的黑客承认窃取Apple iCloud 数据

一名来自加利福尼亚的 40 岁男子承认他参与了闯入 Apple 客户的私人数码照片库以定位和窃取女性露骨图片的阴谋。洛杉矶县拉普恩塔市居民  于 10 月 15 日星期五对计算机欺诈和共谋指控认罪。 根据提交给佛罗里达州坦帕市法院的文件,Chi 与其他身份不明的人合谋,未经授权访问 了美国数百人的 Apple iCloud帐户。 在一个持续多年的计划中,Chi 在地下论坛上以黑客的身份在网上推销他的服务。
发布时间:2021-10-20 12:15 | 阅读:3772 | 评论:0 | 标签:app 黑客

CryptoRom诈骗利用Apple Enterprise功能赚了140万美元

金字塔式加密货币诈骗者正在利用Apple的企业开发人员计划,将虚假交易应用程序安装到他们标记的iPhone上。到目前为止,一切都很顺利:截至目前,他们已经获得了至少140万美元的非法所得。这是Sophos Labs的说法,该实验室观察到该骗局在约会网站上四处传播。研究人员在周三的帖子中说:“他们以约会游戏为手段与用户建立友谊,但随后迅速将目标转向金钱——他们会假装为你提供一个回报率超高的投资机会。”该投资机会涉及加密货币交易,提供将资金投资于加密货币以获得巨额利润的提议。为了提供合法性的外衣,骗子提供了一个“官方”的iPhone应用程序,据称该应用程序得到了苹果的批准。
发布时间:2021-10-18 13:14 | 阅读:6417 | 评论:0 | 标签:app

美团APP存在修改账号绑定的手机号漏洞

美团APP存在业务漏洞,攻击者只需要获取到受害者的手机号和生日信息,就是能修改受害者账号绑定的手机号。1. 获取被攻击者手机号+生日,可社工获取2. 对其美团账号进行修改绑定手机号操作3. 修改后,通过修改的手机号登录账号,即可查看此账号的所有订单信息,地址信息等修复:2021.10.11后,美团将此逻辑更改为:只有6个月内修改过绑定手机号的用户才能进行此操作评价:此次漏洞导致王思聪被盗号,在微博炸锅,引起了较大舆论,此种修复方案虽然安全性提高了一点,但背离了此功能的初衷。。。
发布时间:2021-10-16 10:08 | 阅读:13633 | 评论:0 | 标签:漏洞 app 美团 手机

WhatsApp在iOS和Android推出端到端加密聊天备份功能

WhatsApp正在iOS和Android上推出端到端加密聊天备份功能,以防止除用户外的其他人访问备份的聊天内容。根据目前的机制,WhatsApp会根据用户所在系统平台,将聊天记录信息备份到相应的云存储服务上,如ios用户存储在iCloud上,Android用户存储在Google Drive上。即使用户更换了新设备,WhatsApp也能恢复其备份的聊天记录。虽然WhatsApp上的聊天是端到端加密 (e2ee),但存储在云服务上的备份并没有采用这项技术,理论上可以被任何有权访问用户手机的人获取,并执行中间人(MiTM)攻击,或通过SIM交换攻击接管号码。
发布时间:2021-10-15 15:47 | 阅读:13066 | 评论:0 | 标签:加密 Android iOS app ios android

Lazarus组织继续进行APPLEJEUS行动

robots第134期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、黑客利用“数学符号”,欺骗钓鱼防护系统INKY分析师发现的一个涉及欺诈的大型黑客组织Verizon。该组织仿冒公司徽标上使用的数学符号,用以逃避反网络钓鱼系统的检测。从披露的信息来看,该组织利用平方根符号、逻辑 NOR 运算符或复选标记这些数学符号等手段,欺骗基于AI技术垃圾邮件检测器的轻微光学差异。
发布时间:2021-10-13 21:09 | 阅读:20394 | 评论:0 | 标签:app

美团工程师回应“频繁定位”:系统功能引发,大部分主流App都会这样

美团App被曝24小时不间断定位10月10日,有数码博主在微博发布了一段视频,视频中展现了美团App iOS版连续24小时不间断定位的行为,该博主爆料称,“安装某隐私记录软件之后发现,美团在后台连续24小时进行了定位,太恐怖了。”从视频可以看出,从10月6日起便开始获取位置信息,频率高达每5分钟一次。这一行为一直持续到10月8日下午,这期间完全没有间断,自始至终保持的每5分钟请求一次的频率。美团App功能包括打车、叫外卖、查询商家等,只有在用户使用时才需要进行定位。
发布时间:2021-10-13 15:17 | 阅读:19874 | 评论:0 | 标签:app 美团

APP加固攻防梳理

以下文章来源于小道安全 ,作者小道安全 小道安全 . 以安全开发、逆向破解、黑客技术、病毒技术、灰黑产攻防为基础,兼论程序研发相关的技术点滴分享。 来自公众号:小道安全背景现在市面上对APP的安全合规管控越来越严格了,也就要求了APP在上架之前一定要做合规检测和加固处理。对APP就是加固的好处,可以提高APP的安全性,提高APP被逆向分析破解的门槛,同时通过加固保护可以提高过安全合规的检测。由于APP加固技术不断被攻破情况,因此加固技术也是不断在快速迭代的过程。现在市面上的加固产品的还是比较多的,并且各个加固技术产品都有其各自优缺点,但是加固产品的所采用技术去有很多共性的地方。
发布时间:2021-10-13 15:01 | 阅读:20061 | 评论:0 | 标签:app 加固 攻防

陌陌安全|App合规实践3000问

 “隐私”不知不觉间成了备受关注的高频词,随着《数据安全法》、《个人信息保护法》的正式 颁布,用户隐私问题再次被推向高点。那么面对监管的要求、用户的疑虑、渠道的审核,我们在设计一款App时需要考虑哪些合规问题点呢?下面我们从一些常见场景上逐个问题解答。TIP1.  隐私政策在11月1日即将正式实施的《个人信息保护法》中提到,“数据处理者需公开个人信息处理规则。”我们一般通过隐私政策,或者叫个人信息保护政策,采用“告知-同意”的方式来明确告知用户。
发布时间:2021-10-13 10:42 | 阅读:19680 | 评论:0 | 标签:app 合规 安全

Facebook、WhatsApp和Instagram 6小时无法访问

10月4日,来自全球各地的用户都报告称无法访问Facebook、WhatsApp和Instagram,访问这几个网站时会出现DNS_PROBE_FINISHED_NXDOMAIN错误——站点不可达的错误,并建议用户检查地址栏中输入的域名是否有错误。Facebook、WhatsApp和Instagram无法访问手机用户同样也报告称这一款APP无法正常使用,提示检查网络连接并稍后再试。目前,Facebook的.onion站点仍然无法访问,现实错误仍然是DNS_PROBE_FINISHED_NXDOMAIN 错误。
发布时间:2021-10-12 13:15 | 阅读:18934 | 评论:0 | 标签:app

App合规实践3000问

“隐私”不知不觉间成了备受关注的高频词,随着《数据安全法》、《个人信息保护法》的正式 颁布,用户隐私问题再次被推向高点。那么面对监管的要求、用户的疑虑、渠道的审核,我们在设计一款App时需要考虑哪些合规问题点呢?下面我们从一些常见场景上逐个问题解答。TIP1.  隐私政策在11月1日即将正式实施的《个人信息保护法》中提到,“数据处理者需公开个人信息处理规则。”我们一般通过隐私政策,或者叫个人信息保护政策,采用“告知-同意”的方式来明确告知用户。
发布时间:2021-10-12 10:31 | 阅读:22471 | 评论:0 | 标签:app 合规

苹果明年将执行新规,用户删除APP账户更简单

本周三,苹果公司发布消息称,所有的支持创建个人账户的第三方iOS、iPadOS和macOS的APP,从明年开始,都要在APP内提供一种更加简单的删除个人账户的功能。苹果发言人表示,“自2022年1月31号开始,这一要求将适用于所有的APP(包括更新)。”同时督促开发者们“尽可量的了解那些和数据安全相关的法律、法规,确保自己的APP可以清楚的说明,收集了哪些数据,通过哪些途径收集,如何使用这些数据,以及如何存储和删除这些数据。”值得注意的是,苹果的新规只是严格要求APP必须要设置一个功能,让用户可以“从APP中删除他们的账户”。
发布时间:2021-10-09 15:49 | 阅读:29427 | 评论:0 | 标签:app 执行

iPhone Apple Pay被爆绕过漏洞

研究人员发现一种利用未解锁的iPhone使用Apple Pay+visa卡来发起无接触欺诈交易的方法。背景知识无接触Europay, Mastercard, and Visa (EMV)支付是一种快速和容易的支付方法,也逐渐成为一种支付的标准方式。但如果支付过程中没有用户输入,就会增加攻击面,尤其是中继攻击者可以在卡所有者不知情的情况下,通过构造卡和读卡器之间的消息来发起欺诈交易。通过智能手机APP的支付必须通过指纹、PIN码、Face ID等方式被用户确认,这使得中继攻击的威胁变得小了很多。
发布时间:2021-10-04 13:14 | 阅读:38838 | 评论:0 | 标签:漏洞 phone app

9月29日每日安全热点 - WhatsApp虚假备份消息向用户发送恶意软件

robots漏洞 VulnerabilityAutodesk 安全更新https://www.autodesk.com/trust/security-advisories/adsk-sa-2021-0009Parallels Desktop虚拟机软件安全更新https://kb.parallels.com/125013安全事
发布时间:2021-09-29 13:06 | 阅读:42824 | 评论:0 | 标签:app 安全 恶意软件

移动互联网应用程序(App)收集使用个人信息自评估指南

评估点一:是否公开收集使用个人信息的规则 1.1 是否公开隐私政策等收集使用规则 a)       隐私政策通过弹窗、文本链接、附件、常见问题(FAQs)等界面或形式展示。 b)      隐私政策中包含收集使用个人信息规则的相关内容。 c)       隐私政策文本链接有效,文本可正常显示。
发布时间:2021-09-26 22:06 | 阅读:43396 | 评论:0 | 标签:Android 个人信息自评估指南 移动互联网应用程序 移动 app

Apple修复iOS和macOS中已被利用的RCE;SonicWall修复SMA 100系列中的任意文件删除漏洞

#安全简讯 106 个内容 #攻击事件 48 个内容 #数据泄露 62 个内容 #政府指南 5 个内容 维他命安全简讯25星期六2021年09月【漏洞补丁】Apple发布更新,修复iOS?
发布时间:2021-09-25 16:31 | 阅读:48040 | 评论:0 | 标签:漏洞 iOS app mac ios RCE

app抓包的另一种姿势

robots 前言​ 在测试某app时发现无法常规抓包,于是用端口转发解决了该问题。做一个记录帮助大佬们拓展思路。经过研究发现该app是在本地监听起了一个服务,用来处理业务逻辑,之后把数据进行加密发送到服务端。 抓包分析常规抓包分析小弟先是尝试常规的抓包方案,在WiFi里面设置代理,然后burp+xp模块justTrustMe。疯狂操作之后发现根本没包过来,于是猜测是用tcp传输的。
发布时间:2021-09-24 17:51 | 阅读:44123 | 评论:0 | 标签:app

工信部点名:驴妈妈、南方航空、喜茶GO等App侵害用户权益需尽快整改

工信部9月23日发布《关于侵害用户权益行为的App通报(2021年第10批,总第19批)》:依据《网络安全法》、《电信条例》、《电信和互联网用户个人信息保护规定》等法律法规,工信部近期组织第三方检测机构对手机应用软件进行检查,重点对假日出行、民生服务类App进行抽测。截至目前,尚有52款App未完成整改。上述App应在9月29日前完成整改落实工作。逾期不整改的,工信部将依法依规组织开展相关处置工作。
发布时间:2021-09-23 18:57 | 阅读:43953 | 评论:0 | 标签:app

工信部通报334款侵害用户权益APP,包括南方航空、喜茶GO等

关于侵害用户权益行为的APP通报(2021年第10批,总第19批)依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,我部近期组织第三方检测机构对手机应用软件进行检查,重点对假日出行、民生服务类APP进行抽测。截至目前,尚有52款APP未完成整改(详见附件1)。各通信管理局按照我部统筹部署,积极开展APP技术检测。截至目前,尚有282款APP未按时限要求完成整改(详见附件2-9)。上述APP应在9月29日前完成整改落实工作。逾期不整改的,我部将依法依规组织开展相关处置工作。
发布时间:2021-09-23 16:24 | 阅读:43933 | 评论:0 | 标签:app

工信部 | 关于侵害用户权益行为的APP通报

依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,我部近期组织第三方检测机构对手机应用软件进行检查,重点对假日出行、民生服务类APP进行抽测。截至目前,尚有52款APP未完成整改(详见附件1)。各通信管理局按照我部统筹部署,积极开展APP技术检测。截至目前,尚有282款APP未按时限要求完成整改(详见附件2-9)。上述APP应在9月29日前完成整改落实工作。逾期不整改的,我部将依法依规组织开展相关处置工作。
发布时间:2021-09-23 16:14 | 阅读:42506 | 评论:0 | 标签:app

Apple发布紧急更新,修复“零点击”高危漏洞

苹果用户应该立即更新他们的所有设备——iPhone、iPad、Mac和AppleWatch——以安装一个紧急补丁,防止以色列公司NSO利用iMessage中的漏洞感染设备。苹果公司周一推出的安全更新包括适用于iPhone和iPad的iOS14.8,以及适用于Apple Watch和macOS的紧急更新。这些补丁将将修复至少一个它所说的“可能已被积极利用”的漏洞。Citizen Lab上个月首次发现了前所未见的零点击漏洞,并检测到该漏洞的目标是iMessage。据网络安全监管机构称,该漏洞被用于利用通过NSO公司开发的Pegasus间谍软件非法监视巴林活动家。
发布时间:2021-09-23 14:33 | 阅读:42623 | 评论:0 | 标签:漏洞 app

教育App开展个人信息保护影响评估,有哪些关注点?

近日,教育部办公厅等六部门发布《关于做好现有线上学科类 培训机构由备案改为审批工作的通知》(教监管厅〔2021〕2号,以下简称“通知”),通知中对审批要求做了详细说明,其中,对于教育移动互联网应用程序(教育APP)管理,提出了以下要求:教育移动互联网应用程序(教育APP)管理。教育移动应用提供者应当建立覆盖个人信息收集、储存、传输、使用等环节的数据保障机制,储存100万人以上个人信息的线上校外培训APP,应通过个人信息保护影响评估、认证或合规审计。
发布时间:2021-09-23 11:03 | 阅读:41712 | 评论:0 | 标签:app 保护

基于 AppleScript 的利用技术

作者:redrain原文链接:http://noahblog.360.cn/applescript_attack/背景在恶意网络活动研究领域,针对个人终端的攻击Windows总是独占鳌头,但近年来MacOS的终端数上涨,让很多攻击团伙也开始聚焦针对MacOS的恶意软件利用,但即便针对MacOS的攻击,对手也倾向使用python/shell类脚本,恶意文档扩展一类的控制方案或入口利用。而AppleScript这一MacOS的内置脚本语言至今已沿用接近27年,却在安全研究领域鲜有人提及。
发布时间:2021-09-22 16:57 | 阅读:38453 | 评论:0 | 标签:app

破解 CloudKit:攻击者是如何删除 Apple Shortcuts 的?

CloudKit 是一个允许 App 开发者将键值数据、结构性数据和资源储存在 iCloud 中的框架。对 CloudKit 的访问通过 App 授权进行控制。CloudKit 支持公共数据库和专用数据库。公共数据库被 App 的所有副本使用(通常用作一般性资源),且不加密。专用数据库储存用户的数据。与 iCloud 云盘一样,CloudKit 使用基于帐户的密钥来保护储存在用户专用数据库中的信息,且与其他 iCloud 服务类似,会使用第三方服务对文件进行分块、加密和储存。CloudKit 使用密钥层级,与数据保护类似。文件独有密钥由 CloudKit 记录密钥封装。
发布时间:2021-09-19 13:50 | 阅读:39770 | 评论:0 | 标签:app 攻击 破解

我劝你立刻下载“国家反诈中心”App!

#个人信息保护 32个内容 撰稿 | 贾贾编辑 | 草草“哎,您早。”“这可不早了,转眼就见这2021过去了一大半,小一百天以后,又要翻新年历了!”“也是日月如梭啊。那您给大伙说说,今年有什么新鲜事儿呀?”“新鲜也不算怎么新鲜,就是打外头来了个……”“确实不新鲜,您这贯口我可是从小听到大耳朵都听出茧子了。”“心急什么!我能给你说些喇嘛和哑巴的老套故事吗?”“那您说。”“今天我要给大伙说的,是抖音主播村外头来了个反诈警察的故事……”“警察和主播待一块儿?这听起来有点意思。
发布时间:2021-09-16 21:49 | 阅读:38960 | 评论:0 | 标签:app

微软在 Linux 虚拟机偷偷安装Azure App,后修复严重漏洞但Linux虚拟机难以修复

#漏洞技术分析 31 个内容 #供应链安全 52 个内容  聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。为此,我们推出“供应链安全”栏目。
发布时间:2021-09-16 16:28 | 阅读:36443 | 评论:0 | 标签:漏洞 linux app 微软

Fiddler对安卓模拟器里的APP抓包(步骤详细,各种抓包工具总结)

#fiddler 1 个内容 #模拟器抓包 1 个内容 #渗透测试 5 个内容 0x00  常用抓包工具特点     常用的抓包工具有fiddler、wireshark、httpwatch、 firebug、F12/等。抓包抓的是协议,fiddler抓的是HTTP、HTTPS协议,wireshark抓的是其他协议。fiddler、wireshark可以修改接口的参数和返回值,常用的F12调试工具只可以查看接口的参数和响应值。
发布时间:2021-09-16 05:45 | 阅读:34527 | 评论:0 | 标签:app

2021年Gartner云安全技术成熟度曲线新增CNAPP,解读五大云安全管理工具

Gartner发布了2021年的云安全技术成熟度曲线,该曲线总结了29项重要的技术,这些技术可以实现可控的、合规的、低成本的交付:相比2020年的云安全技术成熟度曲线,本周期新增了Cloud Native Application Protection Platforms (CNAPP)、Security Service Edge (SSE)、SaaS Security Posture Management (SSPM)。根据Gartner的数据,2021年全球公有云支出预计将达到3049亿美元,高于2020年的2575亿美元,增长率达18.4%。
发布时间:2021-09-16 00:15 | 阅读:45446 | 评论:0 | 标签:app 安全

避开官方应用审核,赌博色情APP上演变“装”

众所周知,按照我国法律规定和苹果公司的审核机制,涉及赌博、色情等内容的违法违规APP无法在苹果商店中上架。但是,有些不法分子嗅到商机,想到了利用“超级签”的方式将诈骗、赌博、色情等黑产APP“合规化”,供苹果手机用户安装使用。9月7日,徐州市公安局铜山分局披露了近期打掉的一起,从贩卖公民个人信息到制售个人开发者账号、为境外赌博APP提供签名分发的完整黑产链条。不久前,徐州网警在工作中发现,大量境外赌博、淫秽色情等违法APP(苹果系统)可以绕开苹果商店,通过链接、二维码等方式进行下载使用。
发布时间:2021-09-15 11:06 | 阅读:33511 | 评论:0 | 标签:app 色情 赌博

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云