记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华攻击者伪造WhatsApp语音通知来窃取信息
研究人员发现,恶意攻击者在钓鱼活动中伪造了来自 WhatsApp 的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。 研究人员发现,恶意攻击者在钓鱼活动中伪造了来自 WhatsApp 的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。 云电子邮件安全公司 Armorblox 的研究人员发现了攻击者针对 Office 365 和 Google Workspace 账户进行攻击的恶意活动,在该活动中使用了与道路安全中心相关的域名来发送电子邮件,经调查该组织位于俄罗斯莫斯科地区。
攻击者伪造 WhatsApp 语音通知来窃取信息
导语:威胁攻击者在最近的一个攻击活动中针对Office 365和Google Workspace账号进行攻击,同时使用了一个与莫斯科的一个道路安全中心有关的合法域名来发送诈骗信息。
研究人员发现,恶意攻击者在钓鱼活动中伪造了来自WhatsApp的语音信息通知,并且利用了合法的域名来传播恶意软件窃取信息。
云电子邮件安全公司Armorblox的研究人员发现了攻击者针对Office 365和Google Workspace账户进行攻击的恶意活动,在该活动中使用了与道路安全中心相关的域名来发送电子邮件,经调查该组织位于俄罗斯莫斯科地区。
研究人员发现一种新的网络钓鱼即服务——Frappo
据Security affairs网站5月10日消息,网络安全机构Resecurity近期发现了一项名为Frappo的新型地下网络犯罪服务,以网络钓鱼即服务(PHaaS)的形式,使网络犯罪分子能够托管和生成以假乱真的网络钓鱼页面,这些页面主要针对网络银行、电子商务、流行零售商和在线服务来窃取客户数据。这项服务最早于2021年 3 月22 日左右出现在暗网上,之后有过重大升级,最后一次更新是在 2022 年 5 月 1 日。除了暗网,Frappo也积极利用Telegram 进行宣传,拥有一个将近2000名活跃成员的群组,网络犯罪分子们在这就各种成功的攻击经验展开交流。
Android APP漏洞之战—验证码漏洞挖掘详解
简介验证码漏洞也是当下十分常见的APP端漏洞,本文对验证码漏洞原理做了一个初步的讲解,并复现了当下一些常见的验证码相关的漏洞,本文App抓包技术参考了肉丝大佬的书籍安卓Frida逆向和抓包实战本文第二节主要讲述Android APP端抓包的基础知识本文第三节主要讲述APP验证码漏洞的种类和安全场景本文第四节主要讲述APP验证码原理,并复现了一些常见的验证码相关漏洞基础知识APP验证码漏洞挖掘,需要掌握基本的Android抓包技术,现在越来越多的APP开始进行安全防护,所以如何才能绕过一些基本的防护技术,合理的抓取到报文是验证码漏洞挖掘的先决条件。
APP开发 | 移动应用常见3大风险探讨与解决
说到App安全漏洞,大家并不陌生,网上关于App安全漏洞、用户信息泄露的新闻层出不穷。安全就像空气,虽然看不见摸不着,一旦出现安全问题没有及时修复,将会给开发者和用户带来很大的影响。梆梆安全移动安全专家将在本文中分享和探讨移动应用常见的风险以及相关安全建议,供大家参考。01移动应用安全分析1 开发中的安全风险在软件开发阶段,常见的安全风险:第一,由于移动应用的开发人员对移动安全的攻防对抗了解较少,安全开发经验不足,同时由于开发周期的要求,无法进行有效的安全设计,导致软件在设计之初就会存在设计缺陷,容易导致系统性的安全风险。
他山之石:特斯拉APP隐私政策如何体现数据合规成果?
一、背景早在2016年,欧盟委员会便发布了欧盟网联汽车战略。2017年美国的《自动驾驶法案》更是在世界范围内引起了大众对智能汽车领域的关注。2017年12月27日,工业和信息化部和国家标准化管理委员会联合发布了《国家车联网产业标准体系建设指南》,揭开了我国本土对于智能汽车领域数据合规的监管序幕。
梆梆安全圆满通过2021年度CCRC/PT-2021-01“移动互联网应用程序(App)个人信息安全测试”能力验证
近日,中国网络安全审查技术与认证中心(以下简称“CCRC”)公布了2021年度CCRC/PT-2021-01 “移动互联网应用程序(App)个人信息安全测试”能力验证(以下简称“能力验证”)结果。梆梆安全高分完成检测项目,顺利通过能力验证测试。随着不断爆出的隐私泄露问题,越来越多的App用户逐渐开始关注个人隐私泄露对自身带来的危害。大量的软件开发者和运营者,由于对国家隐私合规监管理解差异较大,导致移动应用存在严重的违规风险,影响企业口碑与产品正常运营。
App加固的种类甄别与侦查
收录于合集 混淆加固技术的发展过程从2012年开始,移动互联网进入快速发展阶段,带动了Android App的开发热潮,而这股热潮也推动了Android平台软件保护的发展。传统App加固技术,前后经历了四代技术变更,保护级别每一代都有所提升,但其固有的安全缺陷和兼容性问题始终未能得到解决。第一代加固技术—动态加载第一代Android加固技术用于保护应用的逻辑不被逆向与分析,最早普遍在恶意软件中使用,其主要基于Java虚拟机提供的动态加载技术。第二代加固技术—不落地加载相对第一代加固技术,第二代加固技术在APK修改方面已经完善,能做到对开发的零干扰。
米家App回应崩了:公网云网络故障导致
前言:由于公网云网络故障,导致米家App、语音控制等相关的服务在4月30日05时30分起出现异常。经过紧急抢修,服务已陆续恢复。4月30日,针对今早“米家App服务出现设备离线无法进行操控”等问题,米家App官方回应称:经过紧急抢修,服务已陆续恢复。米家App方面称,“由于公网云网络故障,导致米家App、语音控制等相关的服务在4月30日05时30分起出现异常。经过紧急抢修,服务已陆续恢复,如出现大量设备不在线等情况,无需重新绑定,请耐心等待。
Google:2021 年 Play Store 禁止 19 万恶意账户 删除 120 万个恶意 APP
隐私和安全成为了 Play Store 的更高优选项。Google 近期封杀第三方通话录音应用之外,还引入了“data safety”(数据安全)部分,要求开发人员提供更多关于他们收集的任何用户数据及其背后目的的信息。现在,Google 公开了 2021 年关于 Play Store 安全的统计数据。
Google强调,仅在 2021 年,它就禁止了 19 万个恶意和垃圾邮件的开发者账户。作为对比,这一数字在 2020 年为 11.9 万。同样,120 万个违反 Google Play 政策的应用程序被删除,该公司表示,这意味着它防止了数十亿次潜在的有害安装。
谷歌4月27日起强制实施安卓APP隐私保护新政
谷歌周二正式开始在Play商店为Android应用程序推出新的“数据安全”部分,以突出收集并与第三方共享的数据类型。 用户想知道他们的数据被收集的目的是什么,以及开发人员是否正在与第三方共享用户数据,”Android安全和隐私产品副总裁Suzanne Frey说。“此外,用户希望了解应用程序开发人员在下载应用程序后如何保护用户数据。这项透明度措施是按照苹果的“隐私营养标签”建立的,由谷歌在近一年前的2021年5月首次宣布。“数据安全”部分将与数字店面上的每个应用列表相对显示,它提供了一个统一的视图,即正在收集哪些数据,用于什么目的以及如何处理这些数据,同时还突出显示了与第三方共享的数据。
谷歌今起强制实施安卓APP隐私保护新政
谷歌将于本周三在安卓(Android)官方应用商店Google Play推出应用隐私政策。用户在下载安装安卓应用时,页面将显示“隐私标签”,让用户一眼就能看到APP收集了哪些个人信息,并决定是否继续安装(下图):当用户在Play商店中查找应用程序时,除了“关于此应用程序”和“评分和评论”等内容条目,将有一个名为“数据隐私和安全”的新条目,开发人员可以在其中解释他们收集了哪些(隐私)数据。谷歌去年展示了这个功能,今天终于开始在Play商店中全面强制实施。
海云安圆满通过CCRC“移动互联网应用程序(App)个人信息安全测试”能力验证
近日,深圳海云安网络安全技术有限公司(以下简称“海云安”)顺利高分通过CCRC/PT-2021-001“移动互联网应用程序(App)个人信息安全测评能力验证”,充分展示出海云安在移动app 安全检测、个人隐私合规等诸多方面的经验积累。中国网络安全审查技术与认证中心信息安全基准实验室作为中国合格评定国家认可委员会CNAS能力验证提供者(注册号:CNAS PT0057),具备依据ISO/IEC 17043组织和实施移动互联网应用程序(App)个人信息安全能力验证活动的能力。
GB/T 41391-2022《App收集个人信息基本要求》解读及实践思路
根据2022年4月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第6号),全国信息安全标准化技术委员会归口的10项国家标准正式发布。其中包括了一项个人信息保护方面的重点标准:GB/T 41391—2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》,也是移动互联网应用程序(App)个人信息保护方面的首个国家标准,引起了高度关注。
发布时间:2022-04-25 09:54 |
阅读:223232 | 评论:0 |
标签:app
在线会议APP静音按钮不静音
研究人员发现在线会议APP静音按钮后仍在收集麦克风数据。受新冠疫情影响,全球对在线视频会议应用的需求暴涨。近日,研究人员对主流在线视频会议应用进行分析,发现按下静音键后可能并没有静音,应用可能仍然在使用用户麦克风。在线视频会议应用隐私分析当前在线视频会议应用主要基于iOS、安卓、Windows和Mac操作系统。研究人员对选定APP进行了运行时二进制文件分析以确定每个APP收集了哪一类数据,以及数据是否构成隐私威胁。
发布时间:2022-04-23 13:25 |
阅读:196396 | 评论:0 |
标签:app
【腾讯云日志服务CLS】体验征文活动正式开始啦!!Apple Watch只等你来拿!!?
导语:云原生日志服务(Cloud Log Service,CLS)是腾讯云提供的一站式日志数据解决平台,提供了从日志采集、日志存储到日志检索,图表分析、监控告警、日志投递等多项服务,协助用户通过日志来解决业务运维、服务监控、日志审计等场景问题。 为活跃云原生日志服务CLS技术交流吧的技术氛围,鼓励广大产品运维技术开发同学们踊跃体验日志服务CLS产品,分享日志数据解决方案技术干货、系统平台接入日志服务CLS成功案例,日志服务CLS现举办“日志服务CLS体验”有奖征文活动。
工信部通报37款存在侵害用户权益行为APP
关于侵害用户权益行为的APP通报(2022年第3批,总第23批)依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,我部近期组织第三方检测机构对移动互联网应用程序(APP)进行检查。截至目前,尚有37款APP未完成整改(详见附件)。上述APP应在4月26日前完成整改落实工作。逾期不整改的,我部将依法依规组织开展相关处置工作。附件:工业和信息化部通报存在问题的APP名单工业和信息化部信息通信管理局2022年4月20日附件来源:工业和信息化部信息通信管理局 声明:本文来自工信微报,版权归作者所有。
发布时间:2022-04-21 02:09 |
阅读:189665 | 评论:0 |
标签:app
【技术分享】Phar与Stream Wrapper造成PHP RCE的深入挖掘
Phar RCE今年HITCON上,baby cake这一题,涉及到了今年BlackHat大会上的Sam Thomas分享的File Operation Induced Unserialization via the “phar://” Stream Wrapper这个议题,见:https://i.blackhat.com/us-18/Thu-August-9/us-18-Thomas-Its-A-PHP-Unserialization-Vulnerability-Jim-But-Not-As-We-Know-It-wp.pdf 。
亚信安全加入统信UAPP计划 网安产业创新力量持续优化
近日,由统信软件技术有限公司、工业和信息化部网络安全技术与产业发展重点实验室主办,亚信安全等头部网络安全企业协办的“UOS主动安全防护计划(UAPP)发布会”在北京成功举行。亚信安全作为首批加入UAPP的代表厂商受邀出席启动仪式,亚信安全副总裁兼产品运营与安全服务平台总经理金龙参与“安全伙伴圆桌论坛”,并与安全专家们共商网络安全建设之道。统信软件联合发起的UOS主动安全防护计划(UAPP),旨在打造具备世界顶级安全水平的中国操作系统,共建信创基础软件平台安全底座,形成兼容稳定、安全易用的中国操作系统生态,从而共建中国操作系统的安全屏障。
与统信软件携手共建信创安全新生态——UOS主动安全防护计划(UAPP)正式发布
4月13日,在工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)指导下,由统信软件技术有限公司、工业和信息化部网络安全技术与产业发展重点实验室主办的“UOS主动安全防护计划(UAPP)发布会”在北京举行。会前,安全牛与统信软件高级副总经理张磊以及生态中心总经理朱建忠就此次发布的UAPP计划及UOS系统生态进行了交流。安全牛:请介绍一下统信UOS系统平台的安全解决方案以及产品,目前处于怎样的状态和水平?这对于UAPP计划的诞生和发展有哪些作用和帮助?统信软件张磊:首先,UOS操作系统包括产品安全、应用软件安全、终端使用安全、企业安全管理和组织流程保障等部分。
UOS主动安全防护计划(UAPP)正式发布,共建信创基础软件平台安全底座
4月13日,在工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)的指导下,由统信软件技术有限公司、工业和信息化部网络安全技术与产业发展重点实验室主办,安恒信息、北信源、绿盟科技、360、天融信、亚信安全、安天、奇安信、启明星辰、瑞星、知道创宇、通明湖信息城协办的“UOS主动安全防护计划(UAPP)发布会”在北京举行,数万名信创及网络安全从业者齐聚云端,共同见证了这次发布活动。重量级嘉宾助阵共话网安发展新趋势本次大会得到政府主管部门、科研机构、合作伙伴、用户单位的广泛关注。
iOS APP添加桌面快捷方式
iOS APP添加桌面快捷方式 背景 新接到一个需求,需要APP内的某些功能,能够把入口添加到桌面,点击桌面到入口可以直接跳转APP对应界面(类似于下面这张示例图),于是就做了一番调研。 其实很多APP目前都已经实现了类似的功能,比如支付宝、云闪付等等,其中的每一个独立功能都可以单独添加到桌面,所以网上有很多实现的方法,笔者做的是整理和试错。
星巴克漏洞致账户收到多张优惠券,App已无法打开
4月12日,多位网友反馈,星巴克App今日出现Bug,账户里忽然被发放多张优惠券。随后,星巴克中国在其官方微博发布致歉声明:亲爱的星粉们,我们今天系统确实出Bug了,技术伙伴们正在全力抢修,但今天大家暂时无法使用“星巴克App”和“微信小程序”,以及账户里面的“优惠券”。目前星巴克App已经无法登录,显示:“系统维护中...,星享好礼和其他App功能暂时无法使用,请耐心等待。” 声明:本文来自安知讯,版权归作者所有。
提升基础软件安全防护能力 UOS主动安全防护计划(UAPP)发布会即将开启
在全球数字化进程加速发展的背景下,网络安全形势更加严峻。“没有网络安全就没有国家安全”,网络安全已上升至国家战略高度。随着信息技术的快速发展,网络安全问题日益突出,网络空间逐渐被视为继陆、海、空、天之后国与国对抗的“第五空间”,亦成为国际社会关注的焦点。近年来,在信息技术快速发展和市场需求持续放量的双轮驱动下,信息技术应用创新产业取得了长足发展。与此同时,伴随着信息技术体系、标准和生态的重构升级,以操作系统为代表的信息技术应用创新应用产品也面临着全新的安全挑战。
工信部治理部分APP强制要求下载等问题
近期,国家计算机病毒应急处理中心通过互联网监测发现15款移动APP及1款SDK(第三方软件开发工具包)存在隐私不合规行为,违反《网络安全法》《个人信息保护法》相关规定,涉嫌超范围采集个人隐私信息。帮助老年人跨越“数字鸿沟”,需要指导老年人学习手机APP使用方法,提高老年人的智能手机使用体验。图为日前,在江苏省海安市南莫镇一家超市门前,志愿者指导老年人使用手机APP扫描二维码。想要浏览链接,却遭遇“不下载APP(移动应用)就不给看”;愿意下载还不行,APP又要求获取定位、摄像和录音等权限……近日,针对部分网站在用户浏览页面信息时强制要求下载APP等问题,工业和信息化部督促相关互联网企业进行整改。
发布时间:2022-04-07 23:18 |
阅读:123423 | 评论:0 |
标签:app
Cash App数据泄露恐将影响820万美国用户
近日,美国支付巨头Block披露了一项与投资应用Cash App有关的数据泄露事件,并将此事件告知了其820万美国用户。Cash App是一款允许用户自由转账、花钱、存钱和购买加密货币的应用程序。此次数据泄露事件中,一名Block的前员工被卷入其中。有证据显示,他下载了一些关于Cash App Investing应用程序的报告。2022年4月4日,Block公司方面宣布,经过调查公司发现一名前员工于2021年12月10日下载了其子公司Cash App Investing LLC(Cash App Investing)的某些报告,而这其中包含了一些美国用户的信息。
Cash App 向 820 万美国客户通报了数据泄露情况
第254期你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!1、Cash App 向 820 万美国客户通报了数据泄露情况在一名前雇员访问其账户信息后,现金应用程序将向820万美国现有和以前的客户通知数据泄露。布洛克说,这些报告包括了现金应用客户的全名和与现金应用投资活动相关的经纪账号。对于一些客户来说,报告中还披露了其他信息,包括投资组合价值、持有量,以及一个交易日的交易活动。
新潮信息成功入选CAPPVD技术支撑单位
关于CAPPVD为贯彻落实《中华人民共和国网络安全法》《网络产品安全漏洞管理定》,加强工业和信息化部网络安全威胁和漏洞信息共享平台建设,做好网络产品安全漏洞管理工作,中国软件评测中心受工业和信息化部网络安全管理局委托,建设和运营工业和信息化部网络安全威胁和漏洞信息共享平台移动互联网APP产品安全漏洞专业库(以下简称CAPPVD漏洞库),并依托中国计算机行业协会成立安全漏洞管理特设工作组,支撑网络产品安全漏洞管理工作。中国软件评测中心(工业和信息化部软件与集成电路促进中心)于2022月03月28日发布公告,公示了工业和信息化部移动互联网APP产品安全漏洞专业库第二批技术支撑单位名单。
发布时间:2022-03-31 20:32 |
阅读:129674 | 评论:0 |
标签:app
安全专家担忧欧盟 DMA 会破坏 WhatsApp 等应用的端到端加密
3 月 24 日,欧盟管理机构宣布《数字市场法案》(Digital Markets Act,简称DMA)已达成共识,将会对欧洲的大型科技公司进行全面的监管。作为一项具有深远影响的雄心勃勃的法律,该法案中最引人注目的措施将要求每个大型科技公司(在欧盟拥有超过 750 亿欧元的市值或超过 4500 万人的用户群)创造可与小型平台互操作的产品。
对于信息应用来说,这将意味着让 WhatsApp 这样的端到端加密服务与 SMS 这样不太安全的协议混在一起–安全专家担心这将破坏在信息加密领域来之不易的成果。
安全专家担忧欧盟DMA会破坏WhatsApp等应用的端到端加密
对于信息应用来说,这将意味着让 WhatsApp 这样的端到端加密服务与 SMS 这样不太安全的协议混在一起--安全专家担心这将破坏在信息加密领域来之不易的成果。DMA的主要关注点是一类被称为“守门人”(gatekeepers)的大型科技公司,这类公司的定义是其受众或收入的规模,并延伸到他们能够对较小的竞争对手行使的结构性权力。通过新的法规,政府希望“开放”这些公司提供的一些服务,以允许小型企业参与竞争。这可能意味着让用户在 App Store 之外安装第三方应用程序,让外部卖家在亚马逊搜索中排名更靠前,或者要求消息应用程序在多个协议中发送文本。
公告
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤