记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华对WhatsApp中消息自动回复的Android恶意软件分析
0x01 基础概述我们最近在Google Play上发现了隐藏在伪造应用程序中的恶意软件,该软件能够通过用户的WhatsApp消息进行传播。如果用户下载了伪造的应用程序并在不经意间授予了恶意软件适当的权限,则该恶意软件能够使用从命令和控制(C&C)服务器接收到的有效负载自动回复受害者的WhatsApp消息。这种独特的方法可能使攻击者能够进行网络钓鱼攻击,散布虚假信息或从用户的WhatsApp帐户中窃取凭据和数据等等。随着移动威胁形势的发展,攻击者一直在寻求开发新技术以发展和成功分发恶意软件。
央行发布《金融数据生命周期安全规范》:App不应留存三级及以上数据
《移动支付网》消息:2021年4月8日,《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021)(以下简称《规范》)正式获批发布实施。《规范》由中国人民银行科技司发起,全国金融标准化技术委员会归口管理。随着大数据、人工智能、云计算等新技术在金融业深入应用,金融数据因其蕴含的巨大商业价值被金融机构所重视,是金融机构重要的资产。2020年4月9日,国务院首次公布关于要素市场化配置的文件——《关于构建更加完善的要素市场化配置体制机制的意见》,让数据从信息化资产进一步转变为生产要素。
《云南省2020年移动互联网应用程序个人信息安全状况》:超九成App存在安全问题
HW期间,为防范钓鱼,即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便,敬请谅解~近日,云南省互联网信息办公室联合省公安厅、省通信管理局、省市场监管局和云南互联网应急中心共同发布了《云南省2020年移动互联网应用程序个人信息安全状况》(以下简称“报告”)。据统计分析,截至2020年,全国约有345万款App,涉及云南省的App约有1.8万款。超过九成的App存在安全问题,可能导致个人信息被违法违规收集、使用,造成个人合法权益受侵害。北京智游网安(爱加密)为报告提供了相应的技术支撑工作,以下为报告详细内容。
记一次代码审计的APP渗透
HACK学习呀 Author Railgun HACK学习呀 HACK学习,专注于互联网安全与黑客精神;渗透测试,社会工程学,Python黑客编程,资源分享,Web渗透培训,电脑技巧,渗透技巧等,为广大网络安全爱好者一个交流分享学习的平台! 原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的稿酬好久没更新了,刚好遇到,就记录一下吧注:本文的测试经过授权0x01 信息收集第一步肯定先抓包找到域名,访问一下。上面这个图是我本地的,远程的访问比较慢就不截图了。
APP抓包那点事
前言:兄弟团队凌晨安全的 Darkerror 师傅最近工作中遇到一些比较奇葩的App,一边测试一边搜集整理出了比较全的姿势。0x01 不走代理的App如何判断:连接Fiddler代理-->抓不到包-->关闭Fiddler后正常通信。
发布时间:2021-04-13 09:10 |
阅读:11751 | 评论:0 |
标签:app
"法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"的简要概括
译者按:近期,关于苹果公司iOS最新更新中即将生效的“App追踪透明度”功能(App Tracking Transparency,简称ATT)引发了众多讨论。恰好日前,法国竞争管理局对法国数家行业组织针对ATT的投诉做出了初步决定,支持了苹果公司推出ATT的决定(决定的摘要,见本篇翻译)。公号君翻译了法国竞争管理局决定的全文,分上下两篇推送。第一篇主要是背景情况、适用的法律框架等。从数据安全和个人信息保护的角度来看,法国数据保护机构CNIL向竞争管理局提交的对ATT的法律评价(属于内部文件,并没有对外公布),最让人感兴趣。法国竞争管理局在决定的第54-64段引述了CNIL的评价,值得关注。
DIANE-Identifying Fuzzing Triggers in Apps to Generate Under-constrained Inputs for IoT Devices
作者:Nilo Redini, Andrea Continella, Dipanjan Das, Giulio De Pasquale, Noah Spahn, Aravind Machiry, Antonio Bianchi, Christopher Kruegel and Giovanni Vigna 单位:UC Santa Barbara, University of
Demystifying Diehard Android Apps
作者:Hao Zhou,Haoyu Wang,Yajin Zhou, Xiapu Luo,Yutian Tang,Lei Xue,Ting Wang 单位:The Hong Kong Polytechnic University,Beijing University of Posts and Telecommunications, Zheji
杀不掉的 App——CVE-2018-4310
作者: 0xcc原文链接:https://mp.weixin.qq.com/s/tnupXwfR5EDhZif7t9vR1w在 2018 年我给 iOS 和 macOS 报了一个 WebKit 沙箱逃逸漏洞 CVE-2018-4310。在报告里还提到了它在 iOS 上有一个奇特的用途,就是做一个永远杀不死的 App。苹果当时应该是没有看懂,只在 macOS 上修复了沙箱逃逸。等我 2019 年在首尔的 TyphoonCon 上介绍了一遍案例[1]之后,终于被低调混入现场的甲方看到了,在之后的 iOS 中彻底修复了这个问题。本文就来介绍一下这个漏洞,以及在当时是如何打造一个杀不死的 App。
新Android恶意软件利用WhatsApp自动回复功能进行传播
点击上方蓝字关注我们概述近期,Check Point研究人员在Google Play应用商店中发现了一个新的蠕虫恶意软件,该恶意软件名为"FlixOnline",其伪装成合法的Netflix应用,声称免费提供2个月的Netflix高级服务以诱使用户点击安装。攻击者可以利用该恶意软件进行网络钓鱼攻击、分发下一阶段有效载荷或虚假信息,以及从用户的WhatsApp的账号和消息中窃取凭证和数据。活动详情随着移动威胁形势的发展,攻击者不断的在开发新的技术手段以发展和成功分发恶意软件。
Android 恶意软件冒充 Netflix 劫持 WhatsApp 会话
安全研究人员在Google Play上的一款应用中发现了一个新的Android恶意软件变种,该软件通过承诺免费订阅Netflix来吸引受害者。周三,Check Point Research(CPR)表示,这种 蠕虫类移动恶意软件是在Android应用的官方存储库Google Play商店中被发现的。
这款被称为 “FlixOnline “的恶意软件将自己伪装成一个合法的Netflix应用,似乎重点针对WhatsApp消息应用。COVID-19大流行迫使我们许多人长期呆在家里,商店关门,酒吧关闭,允许外出的次数有限,我们转而使用流媒体服务来打发时间。
APP恶意弹窗或将被法律处罚!手机用户福音来啦!
随着移动通讯技术与智能手机APP的发展,大到政务办事、小到银行转帐,一台手机几乎能涵盖生活的方方面面,但当我们享受APP带来的快捷和便利时,各类隐私泄露、安全陷阱问题也接踵而至。不久前,央视“3·15”晚会就曝光了一起手机清理软件将老年人推向诈骗陷阱的案例,更有大量APP打着安全卫士的旗号,用耸人听闻的“病毒”、“安全漏洞”诱使用户下载,APP恶意行为一时间成为媒体和用户关注的焦点。(央视曝光手机清理垃圾APP骗局)而除了媒体的关注与曝光,手机厂商也在持续与APP恶意行为做斗争。就在3月19日,全国首例智能手机劫屏不正当竞争纠纷案件迎来判决结果。
发布时间:2021-04-07 14:22 |
阅读:12816 | 评论:0 |
标签:app
全能扫描王、迅捷PDF转换器等60款APP被下架:因侵害用户权益
关于下架侵害用户权益APP名单的通报2021年3月11日,我部向社会通报了136家存在侵害用户权益行为APP企业的名单。截至目前,经第三方检测机构核查复检,尚有53款APP未按照我部要求完成整改(详见附件1)。各通信管理局按我部APP整治行动部署,积极开展手机应用软件监督检查,此次浙江省通信管理局检查发现仍有7款APP未完成整改(详见附件2)。依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》(工信部信管〔2016〕407号)等法律和规范性文件要求,我部组织对上述60款APP进行下架。相关应用商店应在本通报发布后,立即组织对名单中应用软件进行下架处理。
女友的一个建议,让 26 岁程序员做了个价值 10 亿美元的 App
英文:Alan Trapulionis,翻译:InfoQ - 王者Kevin Systrom 沮丧地离开了谷歌。Kevin 在谷歌担任产品经理近三年之久,他渴望承担更多的责任,能够将核心动力放在有形的事情上,但他的老板却要他去打高尔夫球。他的下一站是 NextStop,一家开发位置推荐 App 的初创公司。2000 年代末期,在 FourSquare 的引领下,签到 App 风靡一时,而一个小型的团队意味着 Kevin 可以承担更多的责任,并有很大的话语权。他做到了。经过一年的创业磨练,Kevin 决定开发自己的签到 App。
发布时间:2021-04-06 00:53 |
阅读:13870 | 评论:0 |
标签:app
经验分享 | APP抓包(全网最全,文末抽奖)
#经验分享 2个 前言最近都是在做APP的测试,APP测试最为重要的一步就是抓取数据包,第一步完成才更好的往下去开展,下面我来总结几款本人常用的抓包方式。申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于它用途!方法一:使用模拟器,个人推荐夜神模拟器或者是网易的MuMu模拟器场景:需要抓取HTTPS的数据包1、使用模拟器:夜神模拟器第二步是最关键的一步,不管是Android系统还是IOS系统,抓APP数据包都必不可少。2、安装burp证书,burp设置好代理。
发布时间:2021-04-05 08:55 |
阅读:22704 | 评论:0 |
标签:app
APP | edxposed框架+trustmealredy模块抓包小程序
本文作者: ketchup(Ms08067实验室 SRSP TEAM小组成员)一、下载edxposed框架,由于安卓5.0版本以下的不支持老版本的框架,所以到如下链接下载https://forum.xda
发布时间:2021-04-01 13:31 |
阅读:15537 | 评论:0 |
标签:app
主要针对儿童的吸费APP每年收入超过4亿美元
近日,Avast的一份报告显示,到目前为止,苹果和谷歌应用商店(App Store和Google Play)中大约204种不同的吸费软件(fleeceware)累计收入已经超过4亿美元。吸费应用通常向用户提供免费试用版,让用户在自动支付高额订阅费用之前对应用程序进行“测试”。根据周三发布的Avast的报告,其中一些APP的订阅费用每年甚至超过3,400美元。通常,即使用户删除了有问题的吸费应用,仍然会继续支付订阅费用。Avast研究员JakubVávra在帖子中说:“这些(吸费)应用程序通常没有独特的功能,仅仅是欺诈的渠道。
"法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"全文翻译(下篇)
译者按:近期,关于苹果公司iOS最新更新中即将生效的“App追踪透明度”功能(App Tracking Transparency,简称ATT)引发了众多讨论。恰好日前,法国竞争管理局对法国数家行业组织针对ATT的投诉做出了初步决定,支持了苹果公司推出ATT的决定(决定的摘要,见本篇翻译)。公号君翻译了法国竞争管理局决定的全文,分上下两篇推送。第一篇主要是背景情况、适用的法律框架等。从数据安全和个人信息保护的角度来看,法国数据保护机构CNIL向竞争管理局提交的对ATT的法律评价(属于内部文件,并没有对外公布),最让人感兴趣。法国竞争管理局在决定的第54-64段引述了CNIL的评价,值得关注。
App能提取哪些个人信息?一张图明了
请点击上面 一键关注!本文内容系原创转载请注明来源:“网信中国”微信公众号审核:陈舞阳 编辑:王林晨 校对:赵雅琪 策划:孙颖君 设计:崔童童「天億网络安全」 知识星球 一个网络安全学习的星球!星球主要分享、整理、原创编辑等网络安全相关学习资料,一个真实有料的网络安全学习平台,大家共同学习、共同进步!知识星球定价:199元/年,(服务时间为一年,自加入日期顺延一年)。
发布时间:2021-03-31 09:24 |
阅读:13214 | 评论:0 |
标签:app
黄牛外挂软件侵入上海交警APP:为约考试场次
文章来源:东方网上海的老司机们都知道,如果在上一年度因为违章被扣满了12分,按照规定,在进行重新学习并在现场教育点进行业务受理后,只要通过“上海交警APP”线上预约驾驶员满分考试并合格,便能重新取得驾照了。但如果考试场次都约满了怎么办?有人竟动起了歪脑筋!近期,有驾驶员在网上搜到一家网店,网店称只要花900元就能约到已经约满的考试场次。20221年3月27日一早,#黄牛外挂软件侵入上海交警APP#冲上微博热搜,黄牛胆大包天的操作引发网友围观。 开发外挂软件,黄牛“偷梁换柱”网店的店家刘某是一名从事非法代办车驾管等业务的黄牛。
"法国竞争管理局对苹果iOS限制APP追踪措施的初步决定"全文翻译(上篇)
译者按:近期,关于苹果公司iOS最新更新中即将生效的“App追踪透明度”功能(App Tracking Transparency,简称ATT)引发了众多讨论。恰好日前,法国竞争管理局对法国数家行业组织针对ATT的投诉做出了初步决定,支持了苹果公司推出ATT的决定(决定的摘要,见本篇翻译)。公号君翻译了法国竞争管理局决定的全文,分上下两篇推送。第一篇主要是背景情况、适用的法律框架等。从数据安全和个人信息保护的角度来看,法国数据保护机构CNIL向竞争管理局提交的对ATT的法律评价(属于内部文件,并没有对外公布),最让人感兴趣。法国竞争管理局在决定的第54-64段引述了CNIL的评价,值得关注。
胆大包天!黄牛竟非法侵入“上海交警”APP替他人预约考试
关键词黄牛上海的老司机都知道,如果在上一年度因为违章被扣满了12分,按规定,在进行重新学习并在现场教育点进行业务受理后,只要通过“上海交警APP”线上预约驾驶员满分考试并合格,便能重新开车上路了。但如果考试场次都约满了怎么办?有人竟动起了歪脑筋!近期,有驾驶员在网上搜到一家网店,网店称只要花900元就能约到已经约满的考试场次。
占着星,P着图,一不小心就落入App 4亿美元的圈套
在应用商店里看见一个占星App,你是不是想点进去看看?看见照片编辑App,是不是想下载下来P两张图?下载之后,你就落入应用开发者的圈套了。3天免费试用期一过,就需要支付高昂的订阅费用,卸载也没用。据安全研究机构Avast 3月24日透露,苹果和谷歌的应用商店中共有204款“欺骗性订阅”(Fleeceware)应用程序,预计收入4亿美元。这些应用大多是占星、星座运势、音乐、图片编辑器、相机滤镜、二维码、PDF阅读器以及史莱姆模拟器游戏等。Avast将详细名单公布在GitHub。它们以免费试用来吸引用户,但试用期只有短暂的3天,试用期过后直接进入付费订阅阶段,每周的订阅费用4至66美元不等。
发布时间:2021-03-29 16:35 |
阅读:16732 | 评论:0 |
标签:app
最全APP抓包大法
前言:最近工作中遇到一些比较奇葩的App,一边测试一边搜集整理出了比较全的姿势。如有错误之处,还请各位师傅多多指教。0x01 不走代理的App如何判断:连接Fiddler代理-->抓不到包-->关闭Fiddler后正常通信。
发布时间:2021-03-26 12:06 |
阅读:24558 | 评论:0 |
标签:app
APP抓包大法(最全总结)
前言:最近工作中遇到一些比较奇葩的App,一边测试一边搜集整理出了比较全的姿势。如有错误之处,还请各位师傅多多指教。0x01 不走代理的App如何判断:连接Fiddler代理-->抓不到包-->关闭Fiddler后正常通信。
发布时间:2021-03-26 11:29 |
阅读:28171 | 评论:0 |
标签:app
四部门规定39类App收集个人信息范围 意欲何为?
App不同意授权就不让用,App越界索取过多无关的权限,长期以来,App过度收集用户个人信息的现象令人深恶痛绝。近日,国家网信办、工信部、公安部、国家市场监管局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了39类常见类型App必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息,而拒绝用户使用App基本功能服务。
国家四部门联合印发规定,明确39类常见APP的必要个人信息范围
近日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》),旨在落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则,规范移动互联网应用程序(App)个人信息收集行为,保障公民个人信息安全。国家四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》随着移动互联网快速发展,各类应用程序迅速普及应用,在促进经济社会发展、服务民生等方面发挥了重要作用。但同时,App超范围收集用户个人信息问题十分突出。
发布时间:2021-03-23 19:29 |
阅读:18610 | 评论:0 |
标签:app
蚂蚁SRC活动来袭!GoPro、Apple Watch、无人机,大礼已就绪,就等你露一手!
白帽子都有哪些特征?运指如飞,技术精湛,略带腼腆?咱家的白帽子,不仅如此哦!他,手持cherry键盘,噼里啪啦间,漏洞则无所遁形。戴着GoPro上天
活动 | GoPro、Apple Watch、无人机,大礼已就绪,就等你出手!
蚂蚁安全应急响应中心:https://security.alipay.com/文末有福利! 活动简介白帽子都有哪些特征?运指如飞,技术精湛,略带腼腆?咱家的白帽子,不仅如此哦!他,手持cherry键盘,噼里啪啦间,漏洞则无所遁形。
发布时间:2021-03-16 20:29 |
阅读:25904 | 评论:0 |
标签:app
工信部严厉查处“3·15”晚会曝光“诱导老年人下载APP”“APP违规收集老年人个人信息”等违规行为
工业和信息化部高度重视APP用户权益保护工作,连续两年开展APP侵害用户权益专项整治行动,重点整治包括APP违规收集使用个人信息、欺骗误导用户下载在内的四方面十大类问题。截至2021年3月,共完成73万款APP的技术检测工作,连续发布12批次对外通报,责令整改3046款违规APP,下架179款拒不整改的APP,治理工作取得了积极成效。
发布时间:2021-03-16 19:48 |
阅读:24475 | 评论:0 |
标签:app
公告
❤永久免费的Hackdig,帮你成为掌握黑客技术的英雄