记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

APP个人隐私数据保护之SDK

        随着智能手机的普及,人们在沟通、社交、娱乐等活动中越来越依赖于手机App软件,据工信部发布的消息,我国移动应用的手机App软件已经有接近460万个,排名全球第一,电子政务、电子商城、网上外卖、网约车、游戏、短视频等丰富的应用,全方位影响这大家的衣食住行和生活方式。然而,在APP软件给人们生活带来极大方便的同时,App中暗藏的陷阱也给人们带来了困扰,给个人隐私信息保护带来了巨大
发布时间:2020-08-14 18:09 | 阅读:1936 | 评论:0 | 标签:数据泄露 app

Gelato->Feedback-driven and Guided Security Analysis of Client-side Web Applications

笔记作者:z3r0yu论文作者:Behnaz Hassanshahi, Hyunjun Lee, Paddy Krishnan, Jörn Güy Suß论文链接:https://arxiv.org/abs/2004.06292论文来源:2020年发表在预发表平台arxiv上0x01 主要内容总结了安全感知的客户端分析爬虫应该支持的最关键的功能(15个)GELATO:检测建立在复杂库和框架上的现代客户端JavaScript应用的漏洞(DOM XSS漏洞)反馈驱动的安全感知引导的爬虫技术新的轻量级客户端污点分析方法,直接对JS进行插桩,无需修改浏览器内核,可以对JavaScript应用程序上的非平凡(non-trivial)污点流进行报告新颖的分阶段污点推理分析,能够高精度地检测基于DOM的潜在XSS漏洞0x02
发布时间:2020-08-12 15:12 | 阅读:2055 | 评论:0 | 标签:app

活动 | 专项众测!瞧瞧APP活动不来瞧瞧吗

MMSRC漏洞提交地址:https://security.immomo.com/  活动简介听说,之前的活动白帽们还没使出洪荒之力就结束了?奖金池的砖头都还没搬空?没关系!陌陌安全给大家带来了新一轮安全众测专项活动 活动时间8.10 – 8.23 活动地点MMSRC漏洞提交地址:https://security.immomo.com/ 主办方MMSRC 活动详情请大家仔细阅读 活动内容 & 注意事项 的内容活动内容此次漏洞收集活动请将火力对准:瞧瞧APP注:提交瞧瞧APP漏洞时,在活动标题前加上“瞧瞧”二字可以获得审核同学小心心一枚~ 此次活动奖励机制如下: 注意事项此次活动为瞧瞧APP的专项活动,瞧瞧相关漏洞不产生贡献值——哔哔————专项众测所有内容传
发布时间:2020-08-10 18:05 | 阅读:1519 | 评论:0 | 标签:app

美军背景公司被爆在500多款APP中植入跟踪软件,涉数亿用户

果然是满嘴道德仁义,一肚子见不得人的“猫腻”。 近日,美国频频借国家安全、信息泄露之名,行打压中国科技企业之实。谁想这贼喊捉贼的旧把戏,却因为一家背景非常特殊的美国小公司,彻底暴露了。 当地时间8月7日,《华尔街日报》报道称,一家与美国国防和情报界有联系的美国小公司,已经将其软件植入到超过500款移动应用程序中,使其能够追踪全球数亿用户的位置数据。   报道称,私营公司买卖位置数据的情况虽不在少数,但与美国国安机构密切相关的企业直接收集此类数据,这是不寻常的。 这家位于弗吉尼亚州的美国小公司名叫Anomaly Six,由两名有情报背景的美国退伍军人创办。 名不见经传的小公司为何能掀起风浪,其到底是做什么生意的,不如一起来看看↓↓ 该公司营销材料中介
发布时间:2020-08-10 17:24 | 阅读:2779 | 评论:0 | 标签:业界快讯 信息泄露 美军 美国 app

On Using Application-Layer Middlebox Protocols for Peeking Behind NAT Gateways

作者:Teemu Rytilahti, Thorsten Holz 单位:Ruhr University Bochum 会议:The Network and Distributed System Security Symposium (NDSS) 2020 原文:On Using Application-Layer Middlebox Protocols for Peeking Behind NAT Gateways Abstract 由于 NAT、防火墙等原因,现有的端口扫描器并不能完整覆盖到所有连接到互联网上的设备。尤其是 NAT 的广泛部署带来了一个隐藏设备的副作用。但是由于一些需要端到端的协议的需求,很多方法被部署用来穿透网络屏障。 在这篇文章中,作者研究了攻击者是如何使
发布时间:2020-08-07 02:45 | 阅读:2534 | 评论:0 | 标签:app

Bypas Apple内核PPL

 在研究单字节利用技术时,我认为有几种方法在获取内核读/写或攻破PAC之前仅使用一个物理地址映射原语就可能绕过Apple的PPL(Page Protection Layer),考虑到PPL比XNU内核的其他部分拥有更高的权限,在XNU“之前”泄露PPL的想法很有吸引力。但最后,我还是无法想出仅使用物理映射原语来突破PPL的方法。PPL的目标是防止攻击者修改进程的可执行代码或页表,即使是在获取内核读/写/执行特权之后。它通过利用APRR创建保护页表的“kernel inside the kernel”来实现这一点。在正常的内核执行期间,页表和页表数据是只读的,修改页表的代码是不可执行的;内核修改页表的唯一方法是通过调用“PPL routine”进入PPL,这类似于从
发布时间:2020-08-04 14:34 | 阅读:3079 | 评论:0 | 标签:app

全国移动App风险监测评估报告

 近日,由移动互联网系统与应用安全国家工程实验室牵头,中国信息通信研究院安全研究所和北京智游网安科技有限公司(爱加密)一起参与,三方联合发布了《全国移动App风险监测评估报告》(2020年2季度版)。本次评估报告包括全国移动App安全概况、App行业分布、本季度增量情况、移动应用个人信息安全案例分析、第二季度App风险监测评估总结等内容。App风险监测评估报告面向社会公众免费发布,为行业用户了解本行业App安全提供了参考,也为个人用户开启了一扇了解当下App安全热点的窗户。国家工程实验室、中国信息通信研究院安全研究所以及爱加密后续会加大合作,把“全国移动App风险监测评估”作为常态化合作内容,风险监测评估报告每季度发布。 一、全国移动App概况根据移动互联网系统与
发布时间:2020-07-29 21:29 | 阅读:3438 | 评论:0 | 标签:移动 app

移动互联网系统与应用安全国家工程实验室联合中国信息通信研究院安全研究所和智游网安公司共同发布《全国移动App风险监测评估报告》

近日,由 移动互联网系统与应用安全国家工程实验室牵头,中国信息通信研究院安全研究所和北京智游网安科技有限公司(爱加密)一起参与,三方联合发布了《全国移动 App风险监测评估报告》(2020年2季度版)。本次评估报告包括全国移动App安全概况、App行业分布、本季度增量情况、移动应用个人信息安全案例分析、第二季度App风险监测评估总结等内容。App风险监测评估报告面向社会公众免费发布,为行业用户了解本行业App安全提供了参考,也为个人用户开启了一扇了解当下App安全热点的窗户。国家工程实验室、中国信息通信研究院安全研究所以及爱加密后续会加大合作,把“全国移动App风险监测评估”作为常态化合作内容,风险监测评估报告每季度发布。
发布时间:2020-07-28 19:58 | 阅读:3918 | 评论:0 | 标签:厂商供稿 爱加密 移动App风险监测评估 移动 app

腾讯安全自研曝光APP漏洞风险,腾讯Apkpecker提供自动化应用检测服务

央视315曝光SDK事件,应用开发者如何避坑?7月16日晚,央视3·15晚会拉开大幕,再次敲响了消费领域的警钟。据央视报道,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。日前,工信部已要求严厉查处涉事企业,并责成国内主要应用商店展开“地毯式”排查,及时通知APP运营开发者自查自纠,及时发现、处理违规收集用户个人信息的SDK。第三方SDK泄露隐私问题的暴露,意味着安全风险检测在应用开发与运营过程中非常关键,APP需要全方位、全生命周期的安全检测与管理,以确保广大用户的信息安全。腾讯安全自研的自动化Android应用漏洞扫描系统——ApkPecker,能够进行高效的安全漏洞扫描
发布时间:2020-07-21 21:50 | 阅读:14833 | 评论:0 | 标签:漏洞 app 自动化

模拟器抓APP数据包

文章作者:underneath  今天教大家如何使用模拟器转包。 准备: 1.    夜神模拟器 2.    Burp suite Burp 安装使用就不用说了。 首先。用burp生成一个证书, 选好路径,桌面就行 证书名的话 Xxx.cer 证书此时生成好。先看一下。 可以看到123.cer我生成的证书。 将证书拖进来。 然后,在模拟器设置里找到sd卡安全装证书 此时双击123.cer 证书名称随意 这时证书安装完事。 打开WLAN 修改网络 这里的代理主机名为本地ip地址, 不知道可以先查一下 端口我这里设置的是8081,完成之后。 打开burp 完成。 我们来测试一下。 随便点开一个app,打开burp,
发布时间:2020-07-21 18:48 | 阅读:14399 | 评论:0 | 标签:工具 8081 APP数据包 Burp Suite 夜神模拟器 抓包 模拟器 证书 app

活动 | 专项众测!赫兹APP活动来袭

MMSRC漏洞提交地址:https://security.immomo.com/  活动简介听说,情人节的礼品要提前一个月准备?着急想多赚些钱买个大礼?别急,陌陌安全给大家带来了安全众测专项活动请大家仔细阅读 活动内容 & 注意事项 的内容 活动时间7.20 – 8.2 活动地点MMSRC漏洞提交地址:https://security.immomo.com/ 主办方MMSRC 活动详情此次漏洞收集范围:赫兹APP注:提交赫兹APP漏洞时,请在活动标题前加上“赫兹”二字本次为大家准备了奖金池5万元整奖金池被挖空后会在陌陌安全公众号&MMSRC官网发布公告活动时间截止 或 奖金池挖空后 此次活动结束此次活动奖励机制如下: 注意事项此次活动为赫兹APP的
发布时间:2020-07-20 18:09 | 阅读:11122 | 评论:0 | 标签:app

315晚会曝光SDK窃取个人隐私信息:涉及多款金融App

7月16日,2020年315晚会再次提到手机超限违规收集个人信息情况。据央视报道,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。 SDK是Software Development Kit的缩写,即“软件开发工具包”。简单来说,它是辅助开发某一类应用软件的相关文档、范例和工具的集合。对App来说,可以将某项功能交给第三方来开发以缩短周期。   据移动支付网了解,具备强大功能的第三方SDK广泛应用在大量App的设计开发阶段,成为整个手机软件供应链中不可或缺的一部分。   上海市消费者协会权益保护委员会检测了50多款App,这些App中带有两家公司的SDK:上海氪信信息技术有限公司、北京招彩旺旺信息技术有限公司。而50多款App中
发布时间:2020-07-20 17:27 | 阅读:14503 | 评论:0 | 标签:业界快讯 案例分析 app

安全快讯9 | 工信部通报第二批问题APP,知名教育APP“上榜”

诈骗先知0.5元一份!谁在出卖我们的人脸信息?一些网络黑产从业者利用电商平台,批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程。在淘宝、闲鱼等网络交易平台上,通过搜索特定关键词,就能找到专门出售人脸数据的店铺。除售卖人脸数据外,一些“胆大”的闲鱼卖家还出售“照片活化”工具,利用这种工具,可将人脸照片修改为执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频。人脸数据0.5元一份、修改软件35元一套“一套(‘照片活化’)软件加教程35元,你直接付款,确认收货后我把链接发你。”,确认收货后,收到的“工具箱”里有虚拟视频刷机包、虚拟视频模拟器和人脸视频修改软件等工具,还有相关工具的操作教程文件。倒卖的人脸数据拿来做什么?当前网络黑市中售卖的人脸信息并非单纯的“
发布时间:2020-07-17 21:38 | 阅读:12536 | 评论:0 | 标签:app

印度电子信息技术部宣布禁止59款中国APP

北京时间2020年6月29日晚,据《印度斯坦时报》、《今日印度》等印媒报道,印度电子信息技术部宣布,将禁止包括TikTok、微信、UC浏览器、美图、快手等在内的59款中国APP(访问印度政府电子信息技术部官方公告:https://pib.gov.in/PressReleseDetailm.aspx?PRID=1635206)。印度电子信息技术部也在第一时间转发了公告:被禁止的59个中国APP名单如下:图片来源:印度快报文中提到,这些应用从事的活动有损印度主权和完整、国防、国家安全和公共秩序。之后,这59款中国应用将被禁止在移动平台和非移动平台使用。该部进一步补充说,许多“来自各种来源”的投诉指出,其中一些应用在安卓和iOS系统上存在数据滥用情况,这些应用以未经授权的方式窃取用户数据秘密传输到印度境外的服务器。印
发布时间:2020-06-30 15:45 | 阅读:18254 | 评论:0 | 标签:牛闻牛评 首页动态 APP卸载 中国 印度 app

“裸聊APP”背后的秘密

 1. 概述书接上文“我被“裸聊APP”诈骗了”,近几天又不断收到网友的求助,不过明显网友比之前聪明不少,不是一味的打钱,而是通过网络寻求帮助。钱虽然没损失多少,但是自己信息还在诈骗团伙那边存着,自己心里还是没底,希望能够得到帮助。针对这种窃取短信、通讯录的APP,即使没有其他恶意行为,我们也要严厉打击,对于用户来说手机上最隐私的东西莫过于短信和通讯录,这也是诈骗团伙最想拿到的数据,诈骗团伙可以通过这些数据做人物关联,方便撰写诈骗术语,容易取得被诈骗者的信任。图1 裸聊诈骗实施流程 2. 样本分析2.1样本基本信息APP名称荔枝应用包名com.y1lizhi50050.qrf文件MD54A9635D9C2D94968E6795FBF161ADD46签名信息CN=(
发布时间:2020-06-22 13:57 | 阅读:20039 | 评论:0 | 标签:app

WhatsApp的用户电话号码在Google可被搜索,这会是又一个漏洞警报吗?

近日,一名研究人员发现,与WhatsApp账户相关的电话号码在谷歌搜索中可以被公开显示出来,他认为这对用户来说是“隐私问题”。事件回顾这位研究人员发现,WhatsApp的一项名为“点击聊天”的功能使用户的手机号码处于危险之中,因为它允许谷歌搜索对用户的手机号码进行索引,供任何人查找。但WhatsApp的所有者Facebook表示,这没什么大不了的,搜索结果只会显示用户选择公开的内容。发现这一问题的赏金猎人阿苏尔•Jayaram(Athul Jayaram)称这些电话号码“被泄露”,并将这种情况描述为一个安全漏洞,该漏洞将WhatsApp用户的隐私置于危险之中。“点击聊天”为网站提供了一种与网站访问者启动WhatsApp聊天会话的简单方法。它的工作原
发布时间:2020-06-15 13:10 | 阅读:19530 | 评论:0 | 标签:漏洞 app

安全快讯4 | 16款APP涉嫌过度收集用户信息,工信部责令整改

诈骗先知前有“地摊经济”后现“诈骗经济”“地摊经济”一时间大火,不少人摩拳擦掌的想加入地摊大军。然而,“地摊经济诈骗”也随之而来。近期,不少餐厅老板就被骗了!案例经过广州某奶茶店员工接到一个电话订单,对方表示用快捷支付先付款再取餐。于是,员工按照对方指引进入支付宝首页的“付款”,将18位数字透露给了对方;对方称数字过期,要求刷新后再报一次,员工照做后,对方又称支付不成功,表示稍后直接去店铺当面支付便挂断电话。之后收到扣款信息,意识到被骗。诈骗点分析n骗子通过外卖软件、地图软件等找到商家的电话,直接打电话给商家订餐,脱离外卖平台就避开了线上支付环节;n商家接到大额订单,顾客又表示到店自取,省去了外卖平台抽层和配送成本自然很欣喜,面对这种新型诈骗手法时,不易察觉、放松
发布时间:2020-06-11 22:05 | 阅读:26323 | 评论:0 | 标签:app

卡巴斯基报告:安卓系统 APP 中可疑广告模块应用

原文:Aggressive in-app advertising in Android译者:知道创宇404实验室翻译组 近期,Google Play上流行应用程序中的可疑广告模块越来越多,其观看次数也在不断增加,与白名单广告模块相比,它们为开发人员带来了更多收入,但此类SDK的获利方法可能会对用户形成网络威胁。本文将对之前所提到的流行应用程序中的可疑广告模块进行研究。第一个研究的应用程序,它允许用户匿名提问。com.haskfm.h5mob模块将数据集成到该程序前期的代码中,其任务是在用户解锁手机时显示侵入性广告(违反Google Play规则)。屏幕解锁时显示广告的代码换句话说,无论该应用程序是否正在运行,该模块都可以显示广告,广告会在屏幕上自动弹出。我们将调查结果发送给了应用程序开
发布时间:2020-06-08 16:18 | 阅读:18591 | 评论:0 | 标签:app

彩票助赢计划软件手机版app破解版

前言      很久没有发博客了,最近一直在研究项目,今天来分享一款收费的破解软件,业内的都知道有款软件叫腾讯助赢软件,据说原作者是腾讯大数据研究院的,利用往期开奖冷热号分析结果做出来这款软件,可以ai智能分析下一期开奖号码。这个计划软件的接口不出来还好,一出来整个彩票圈都炸锅了, 因为这款计划软件的精准度平均在60%-70%左右,这是什么概念,只要大于50%的计划都是可以盈利的,也就是说跟着整个软件平刷投注稳赚不赔。      大家看这是6月5日的测试结果,这是比较好的一页,这款软件目前在行业里小范围的人在出售,售价是1w9左右。好消息是这个软件算法和接口被人在5月底挖出来,于是利用其算法和接口做成了app,原来售价1w9的软件破解版仅售499,给大
发布时间:2020-06-07 07:46 | 阅读:32486 | 评论:0 | 标签:app

使用Frida绕过iOS反调试

在iOS平台上只要jailbroken了之后基本就可以想干啥干啥了,利用lldb+debugserver可以随便动态调试,所以最常用的保护手段就是反调试了,这里针对某新闻APP(v6.0.4)为例 当我们利用debugserver进行attach的时候,会报错Segmentation fault: 11 这种情况基本就是APP做了反调试了,参考干掉高德地图iOS反动态调试保护,我们利用debugserver -x backboard *:1234 /var/containers/…/XinHuaShe.app/XinHuaShe 启动APP,然后在lldb中下断b ptrace函数,然后使用bt打印堆栈 将这里的地址转换一下就是0x0000000100000000+hex(333440)=0x100051680
发布时间:2020-06-05 12:32 | 阅读:15777 | 评论:0 | 标签:移动安全 APP FRIDA iOS jailbroken ptrace反调试 反调试 硬编码 绕过

安全快讯3 | “Apple 登录”安全漏洞:某些用户帐户被接管

诈骗先知“转发免费送…”套路似曾相识“转发活动消息到朋友圈,凭截图免费领取水果…”近日,“免费送”骗局再次席卷朋友圈,有点似曾相识的味道。用户看到朋友圈发布的“转发可免费领取车厘子”的广告,抱着试试看的态度添加了店家微信,按照活动规则转发朋友圈并将收货信息发给了对方,随后被告知“可免费领取三斤新鲜的车厘子,并强调3天左右到货”。接着被店家拉进一个几百人微信群,有人开始在群里宣传博彩平台诱导群成员参与网络赌博,美其名曰“教你如何赚钱”。免费送车厘子、送榴莲、送名表、送手机、送手环……“免费送”骗局套路如出一辙,手法也在不断演变,诈骗目的基本集中在以下几点:n骗取用户包括姓名、电话、地址在内的个人信息,倒卖给黑市,导致用户信息泄露被骚扰或遭遇诈骗的风险。n“免费送”的
发布时间:2020-06-04 21:01 | 阅读:14990 | 评论:0 | 标签:漏洞 app

攻击者如何利用AppleScript绕过防御机制

概述当我们分析macOS安全性和攻击者所使用的工具时,无论是野外发生的真实攻击,还是红队演习过程中的真实工具,我们都会联想到类似于Python脚本、Shell脚本、恶意文档、可疑扩展之类的内容,当日,还包括伪造、篡改或木马等方式。尽管AppleScript的存在时间与Python一样早,并且比macOS 10本身早了8-9年,但AppleScript(一种内置的macOS技术)在安全领域却很少被关注到。正如我在这篇文章中要展示的那样,攻击者目前正在广泛使用AppleScript。其中包括攻击者在广告软件中的使用,也包含其在持久化、反分析、浏览器劫持、欺骗等任务中的使用。令人担忧的是,由于安全研究社区中对于AppleScript的关注不足,研究人员往
发布时间:2020-06-03 13:18 | 阅读:17909 | 评论:0 | 标签:app 防御 攻击

sign in with apple 0 day漏洞分析

Sign in with Apple是2019年APPLE公司引入的一个新功能,允许用户在不泄露其真实邮箱地址(Apple ID)的情况下通过第三方app登入账户。研究人员Bhavuk Jain4月份在Sign in with Apple中发现了一个影响第三方应用的0 day漏洞。攻击者利用该漏洞可以完全接管用户账户无论受害者是否有有效的APPLE ID。苹果公司通过漏洞奖励计划向Bhavuk Jain发放了10万美元的奖励。 技术细节 Sign in with Apple 的工作原理与OAuth 2.0类似。通过Sign in with Apple有两种方式来认证用户,一是使用 JWT (JSON Web Token) ,一是使用APPLE服务器生成的code。该code可以用
发布时间:2020-06-01 17:09 | 阅读:19742 | 评论:0 | 标签:漏洞 0 day漏洞 Airbnb code DropBox Giphy JWT Sign in with Apple

Sign-in-with-Apple 0 day漏洞可劫持任意账户

Apple公司近日通过漏洞奖励计划向印度漏洞研究人员Bhavuk Jain发放了10万美元的漏洞奖励,感谢其发现的影响'Sign in with Apple'系统的严重0 day漏洞。远程攻击者利用该漏洞可以绕过认证,接管目标用户通过'Sign in with Apple'功能注册的第三方服务和app上的账户。'Sign in with Apple'特征是2019年苹果WWDC大会上引入的一个新的保留隐私的登陆机制,允许用户在不泄露其真实邮箱地址(Apple ID)的情况下通过第三方app登入账户。Bhavuk Jain称,该漏洞产生的原因是苹果在初始化来自苹果认证服务器的请求前,在客户端验证用户的方
发布时间:2020-06-01 11:03 | 阅读:11809 | 评论:0 | 标签:漏洞 app

5月30日每日安全热点 - Apple 多项服务拒绝服务漏洞

漏洞 VulnerabilityCVE-2020-10977: GitLab任意文件读取漏洞https://www.freebuf.com/vuls/235982.htmlCNVD-2020-30751: Apple 多项服务拒绝服务漏洞https://www.cnvd.org.cn/flaw/show/CNVD-2020-30751CNVD-2020-30753: Apple CUPS 打印机系统缓冲区溢出漏洞https://www.cnvd.org.cn/flaw/show/CNVD-2020-30753CNVD-2020-30762: NETGEAR网件多款路由器缓冲区溢出漏洞https://www.cnvd.org.cn/flaw/show/CNVD-20
发布时间:2020-05-30 17:39 | 阅读:18142 | 评论:0 | 标签:漏洞 app

啤酒评级应用Untappd竟然可以用来追踪军事人员的个人敏感信息

 是的,你没看错,啤酒评级应用Untappd可以用来追踪军事人员的位置历史。目前,这个社交网络拥有超过800万的用户,其中大部分都是欧洲和北美地区的用户。而根据研究人员的发现,Untappd所提供的功能将允许他们获取全球军事情报人员的敏感信息以及地理位置。对于军事情报人员来说,无论是喝啤酒还是使用社交网络,这些其实都不具备多少新闻价值。但是Untappd会记录用户数百个,甚至是数千个带有时间戳的地理位置数据信息,这些位置信息会被按类划分成超过900种类型,并且同时具备多样性和准确性,比如说记录会标明“植物园”、“脱衣舞俱乐部”、“同性恋酒吧”、“西乌克兰餐厅”和“机场”等等。该应用程序还允许任何人追踪其他用户在敏感地点之间的活动轨迹,并了解他们最喜欢的酒吧、酒店、
发布时间:2020-05-25 14:17 | 阅读:14483 | 评论:0 | 标签:app

公安网安部门发布违法收集公民个人信息十大APP案例

据人民公安报报道,公安部近日公布了最新一季度的APP专项整治结果:依法查处违法违规收集公民个人信息APP服务单位386个,涉及信息咨询、辅助学习、文学小说、新闻资讯、娱乐播报等多个类型。其中,97个APP被予以行政处罚,192个APP被依法责令改正违法行为,51个APP被下架、停运,有效保护了公民个人信息。十大案例为:01、“猎豹清理大师”APP(版本号:6.13.5.1066)经查,该款APP的隐私协议中对于索取用户通讯录、通话记录等权限的行为没有进行详细说明。北京市公安局朝阳分局已依法责令该公司改正违法行为。02、“印象笔记”APP(版本号:10.5.5)经查,该款APP隐私协议中未以显著位置、显著字体申明收集用户信息数据项,未明示各数据项收集用途。北京市公安局朝阳分局已依法责令该公司改正违法行为,并予以警
发布时间:2020-05-19 18:31 | 阅读:19048 | 评论:0 | 标签:行业动态 首页动态 APP专项整治 违法收集个人信息 app

Firebase数据库配置错误致超4000安卓app泄露用户数据

Security Discovery和Comparitech的安全研究人员对15735个安卓app分析发现,有超过4000个使用谷歌云Firebase数据库的app泄露了用户的隐私信息,包括邮箱地址、用户名、口令、手机号码、全名、聊天消息和位置数据等。FirebaseFirebase是谷歌的移动应用开发平台,项目2011年启动,2014年被谷歌收购。App开发者使用Firebase可以进行以下服务:· 认证· 云存储· 实时数据库· 分析· 消息· Admob融合· 机器学习Firebase的安卓app最流行的存储方案,Google play应用商店中有超过30%的app使用Fi
发布时间:2020-05-13 10:05 | 阅读:21844 | 评论:0 | 标签:app 泄露

APP端常见漏洞与实例分析

前言:白帽子们一般都是从web端开始学习安全技术,但是我们并不满足于web端,自然而然地对APP端产生了浓厚的兴趣,本文将讲述如何在移动端进行渗透,并分享自己在对移动端渗透过程中常见的漏洞与一些案例的分析。 0x01环境搭建 首先下载一个模拟器来模拟手机的环境,本文使用的是夜神模拟器。 1、在burpsuite中新建一个代理,注意端口不要冲突   2、在模拟器中打开设置界面中的WLAN菜单,长按弹出,点击修改网络 3、点击手动,然后配置电脑的ip,和代理端口,保存退出。 4、打开浏览器,访问你输入的代理ip+端口,下载证书。 5、将下载好证书的后缀名der改为cer,这样才能安装 6.针对夜神模拟器,在设置中找到安全,选择从SD卡安装,然后在如图位置找到证书 这样我们就可以对APP进行拦包
发布时间:2020-05-08 12:49 | 阅读:25515 | 评论:1 | 标签:移动安全 APP端 BurpSuite SQL注入漏洞 XSS漏洞 夜神模拟器 水平越权 渗透 爆破 移动端 逻辑漏洞

我被“裸聊APP”诈骗了

 概述:疫情之下,各行各业为了生存发展都在谋求转型,诈骗界也不例外。就色情类诈骗而言,最近“找小姐”诈骗、仙人跳诈骗几乎为零,P2P裸贷诈骗随着整治也告一段落,但“裸聊”被敲诈的案件却暴涨。其实原因很简单,你懂得…,在网上寻欢作乐、寻找慰藉,给专业犯罪团伙创造了致富机会。最近暗影实验室接收了一名受害者的求助,受害者声称自己与网友进行QQ视频裸聊被录制了视频,且在网友推荐下载了一款名为糖果的软件,这款软件会上传了用户手机联系人信息,诈骗者以此威胁受害者一直转账。图1-1网友求助信息图1-2受害者聊天记录 诈骗实施流程和以往我们看到的裸聊APP不一样,以前你可能只是被诱骗购买会员,少则九块九,多则九十九,对于很多人来说都是小钱,即使被骗了,也可能就当生活小插曲,过几天
发布时间:2020-05-05 14:28 | 阅读:51994 | 评论:0 | 标签:app

ADS

标签云