记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

4月28日每日安全热点 - iOS上默认的Mail应用程序MobileMail / Maild 0-click漏洞分析

漏洞 VulnerabilityiOS上默认的Mail应用程序MobileMail / Maild 0-click漏洞分析https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/Microsoft Teams中的帐户接管漏洞,利用恶意的GIF可导致子域接管https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/Open-AudIT v3.3.1 远程命令执行漏洞分析 (CVE-2020-12078)https://shells
发布时间:2020-04-28 13:30 | 阅读:22526 | 评论:0 | 标签:漏洞 iOS mobile AI

Automatic Uncovering of Hidden Behaviors From Input Validation in Mobile Apps

作者:Qingchuan Zhao∗, Chaoshun Zuo∗, Brendan Dolan-Gavitt†, Giancarlo Pellegrino‡, Zhiqiang Lin∗ 单位:∗The Ohio State University, †New York University, ‡CISPA Helmholtz Center for Information Security 会议:S&P 2020 原文:Automatic Uncovering of Hidden Behaviors From Input Validation in Mobile Apps 简介 Input validation是指移动应用程序处理和响应用户输入的数据的方式。这篇文章作者验证
发布时间:2020-04-21 00:05 | 阅读:21626 | 评论:0 | 标签:mobile app

The Betrayal at Cloud City: An Empirical Analysis of Cloud-Based Mobile Backends

作者:Omar Alrawi; Chaoshun Zuo; Ruian Duan; Ranjita Pai Kasturi; Zhiqiang Lin; Brendan Saltaformaggio; 单位:Georgia Institute of Technology; Ohio State University; 会议:USENIX Security ‘19 资料:原文 网站 这篇文章是该实验室研究移动应用后端的一系列工作中的一篇,主要聚焦于服务器漏洞分析。本文提出了SkyWalker框架,来自动分析给定应用APK所涉及的后端服务器。 移动应用后端容易存在漏洞,原因包括 服务
发布时间:2019-12-20 15:31 | 阅读:52729 | 评论:0 | 标签:mobile

BUF大事件丨CIS 2019网络安全创新大会在上海举办;某儿童手表泄露5000多儿童信息;电信巨头T-Mobile遭网络攻击

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,CIS 2019网络安全创新大会在上海举办;某儿童手表泄露5000多儿童信息,还能假扮父母打电话;电信巨头T-Mobile遭网络攻击,客户信息被泄露;一加公布个人信息安全漏洞并向受影响客户致歉。想要了解详情,来看本周的BUF大事件吧! 观看视频 内容梗概 CIS 2019网络安全创新大会在上海举办 2019年11月27日-28日,CIS 2019网络安全创新大会在上海宝华万豪酒店举办,此次CIS大会以“新纪漫游”为主题,是原FIT互联网安全创新大会的全面升级。本次大会由FreeBuf、赛博研究院、上海市信息安全行业协会联合主办,通过分享最新网络安全形势,聚焦网络安全风险应对策略,共同探讨网络安全发展前沿技术,进一步提升人们的网络安全意识,启迪网络安
发布时间:2019-11-30 12:20 | 阅读:42340 | 评论:0 | 标签:mobile

Automatic Fingerprinting of Vulnerable BLE IoT Devices With Static UUIDs From Mobile Apps

作者:Chaoshun Zuo,Haohuang Wen,Zhiqiang Lin,Yinqian Zhang 单位:The Ohio State University 会议:CCS’19 链接:https://dl.acm.org/citation.cfm?doid=3319535.3354240 低功耗蓝牙 (BLE) 已经被IoT设备广泛使用。在典型场景中,IoT设备需要与配套的手机App连接,为了建立这样一个连接,设备需要向附近应用广播包含UUID的报文,使得应用识别设备、配对以及与其绑定来进一步通信。 在这篇文章中,作者发现当前很多BLE设备和App之间通信的广播报文中使用了静态的UUID,可能会导致攻击者对BLE设备进行指纹识别。这里的指纹识别应该指通过UUID,建
发布时间:2019-11-29 15:30 | 阅读:42859 | 评论:0 | 标签:mobile

An Empirical Study of Web Resource Manipulation in Real-world Mobile Applications

出处:USENIX Security 2018 作者:Xiaohan Zhang, Yuan Zhang, Min Yang, Xiaofeng Wang, Long Lu, Haixin Duan 单位:School of Computer Science, Fudan University, Shanghai Institute of Intelligent Electronics & Systems, Shanghai Institute for Advanced Communication and Data Science, Shanghai Key Laboratory of Data Science, Fudan University, Indiana University Bloomi
发布时间:2018-12-11 19:25 | 阅读:127111 | 评论:0 | 标签:mobile

Understanding Cross App Remote Infections on Mobile Webviews

作者:Tongxin Li, Xinhui Han, Xueqiang Wang, Mingming Zha, Kai Chen, XiaoFeng Wang, Luyi Xing, Nan Zhang, Xiaolong Bai 单位:Peking University, Indiana University Bloomington, Institute of Information Engineering, Chinese Academy of Sciences, Indiana University Bloomington, Tsinghua University 出处:CCS 2017 论文:https://www.informatics.indiana.edu/xw7/papers/p829-l
发布时间:2018-12-10 19:25 | 阅读:127983 | 评论:0 | 标签:mobile

Finding Clues for Your Secrets: Semantics-Driven, Learning-Based Privacy Discovery in Mobile Apps

Yuhong Nan, Zhemin Yang, Xiaofeng Wang, Yuan Zhang, Donglai Zhu and Min Yang School of Computer Science, Fudan University Shanghai Insitute of Intelligent Electro ics & Systems § Shanghai Institute for Advanced Communication and Data Science Shanghai Key Laboratory of Data Science Indiana University Bloomington {nanyuhong, yangzhemin, yuanxzhang, zhudl
发布时间:2018-07-03 19:25 | 阅读:133954 | 评论:0 | 标签:mobile

利用个性化配置辨识移动设备(Fingerprinting Mobile Devices)

作者:{Persist}@ArkTeam 原文作者:Andreas Kurtz*, Hugo Gascon, Tobias Becker, Konrad Rieck, and Felix Freiling 原文题目:Fingerprinting Mobile Devices Using Personalized Configurations 原文来源:Proceedings on Privacy Enhancing Technologies 最近,苹果禁止了对硬件标识符的访问,这些标识符经常用被第三方应用来追踪用户,本文研究出了一种在此情况下利用个性化配置仍然可以唯一辨识用户的方法,本实验是面向iOS平台的,本文寻找了29个不同的配置特点(见图1)去计算用户”指纹(FingerPrinti
发布时间:2018-03-30 18:15 | 阅读:184587 | 评论:0 | 标签:ArkDemy 移动 mobile

Mobile Pwn2Own 2017:趋势科技颁出51.5万美元奖金

东京举行的2017移动Pwn2Own大会上,展现了Pwn2Own竞赛史上最长漏洞利用链,安全研究人员采用11个不同漏洞在三星Galaxy S8系统中执行代码。11月2日,今年移动Pwn2Own黑客竞赛的第二天,大波漏洞利用涌现,包括Pwn2Own史上最长漏洞利用链。2017移动Pwn2Own大赛于11月1日至2日在日本东京举行,披露了32个漏洞,涉及苹果、三星和华为的移动设备。为期2天的赛事结束,主办方趋势科技的零日计划(ZDI)共颁出了51.5万美元的奖金。ZDI已私下向受影响厂商通报了所有这些漏洞,以便问题能得到修复。大赛亮点之一,是MWR实验室演示针对三星Galaxy S8及其默认浏览器的超复杂漏洞利用。MWR实验室共用了Galaxy S8上6个应用中的11个不同漏洞,得以在该设备上执行任意代码,并渗漏潜
发布时间:2017-11-06 19:10 | 阅读:206242 | 评论:0 | 标签:行业动态 奇虎360 安全漏洞 漏洞奖金 移动Pwn2Own 腾讯科恩安全实验室 mobile

任何使用jQuery Mobile网站中都存在一个尚未修复的XSS漏洞

任何使用jQuery Mobile网站中都存在一个尚未修复的XSS漏洞,根据国外媒体的最新报道,谷歌公司的安全工程师Eduardo Vela在jQuery Mobile框架中发现了一个安全漏洞,这个漏洞将会让 所有使用了jQuery Mobile的网站暴露于跨站脚本攻击风险之下 。安全客小百科:jQuery MobilejQuery Mobile项目(jQuery框架中的一个组件)是一个基于HTML5的开发框架,在它的帮助下,开发者可以设计出能够适配目前主流移动设备和桌面系统的响应式Web站点以及应用程序。实际上,jQuery Mobile不仅可以为主流移动平台提供jQuery的核心库,而且它也是一个较为完整统一的jQuery移动UI框架。根据jQuery开发团队的介绍,目前全球范围内大约有十五万个活动站点是采
发布时间:2017-02-14 05:45 | 阅读:143461 | 评论:0 | 标签:xss 漏洞 mobile

安天移动安全&中国电信云堤联合报告《Dark Mobile Bank之钓鱼篇》

一、威胁趋势 在电商购物、移动支付盛行的今天,网络钓鱼也发生了新的变化,不仅有传统的网站欺骗,还发展出移动平台钓鱼的新方式。相对于传统诈骗,移动平台的钓鱼手段更加恶劣,带来的经济损失也更为惨重。 作为移动威胁的一部分,移动钓鱼攻击已成为手机用户的重要威胁。经过三年多的发展变化,移动钓鱼攻击的技术及手段更加成熟。移动威胁最直接的受害群体是普通的个人用户,诈骗电话、钓鱼短信、手机病毒已经成为危害用户手机安全的主要威胁,其中针对个人用户的移动威胁当前主要是借助于伪基站钓鱼短信传播恶意代码;同时通讯信息诈骗犯罪持续高发,媒体也公开披露过多起致人死亡或涉案金额巨大的电话诈骗案件。 2016年,网站系统的脱库、撞库攻击频繁发生,各类信息及数据泄露的安全事件依旧层出不穷,且愈演愈烈。黑产之手已经延伸到普通百姓生活,用户的隐私
发布时间:2017-02-13 22:05 | 阅读:147890 | 评论:0 | 标签:行业动态 移动安全 移动钓鱼 移动 mobile

安天移动安全&中国电信云堤联合报告《Dark Mobile Bank之钓鱼篇》

一、威胁趋势在信息安全链条中,技术、管理等因素极大威胁着信息安全,而人为因素则是其中最为薄弱的一个环节。正是基于这一点,越来越多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。网络钓鱼是社会工程学的一种形式,也是信息安全威胁中最久远、最常见的一种攻击方式。网络钓鱼历史悠久,其主要发展历程可以归纳如下:网钓技术最早于1987年问世首次使用“网钓”(phishing)这个术语是在1996年。该词是英文单词钓鱼(fishing)的变种之一,大概是受到“飞客”(phreaking)一词的影响,意味着放钱钓鱼以“钓”取受害人财务数据和密码2000年,通讯信息诈骗由台湾从沿海逐渐向内地发展,并迅速在国内发展蔓延2002年,著名黑客凯文·米特
发布时间:2017-02-13 19:45 | 阅读:166868 | 评论:0 | 标签:行业观点 AVL Insight移动威胁情报平台 AVL Team 中国电信 钓鱼网站 移动 mobile

安天移动安全&中国电信云堤联合报告《Dark Mobile Bank之钓鱼篇》

一、威胁趋势 在信息安全链条中,技术、管理等因素极大威胁着信息安全,而人为因素则是其中最为薄弱的一个环节。正是基于这一点,越来越多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段,突破信息安全防御措施的事件,已经呈现出上升甚至泛滥的趋势。 网络钓鱼是社会工程学的一种形式,也是信息安全威胁中最久远、最常见的一种攻击方式。网络钓鱼历史悠久,其主要发展历程可以归纳如下: 网钓技术最早于1987年问世 首次使用“网钓”(phishing)这个术语是在1996年。该词是英文单词钓鱼(fishing)的变种之一,大概是受到“飞客”(phreaking)一词的影响,意味着放钱钓鱼以“钓”取受害人财务数据和密码 2000年,通讯信息诈骗由台湾从沿海逐渐向内地发展,并迅速在国内发展蔓延 2002年,著名黑
发布时间:2017-02-13 13:40 | 阅读:171268 | 评论:0 | 标签:安全报告 社工 移动 mobile

【国际资讯】任何使用jQuery Mobile网站中都存在一个尚未修复的XSS漏洞

【国际资讯】任何使用jQuery Mobile网站中都存在一个尚未修复的XSS漏洞 2017-02-12 10:44:08 来源:securityaffairs.co 作者:WisFree 阅读:2642次 点赞(0) 收藏 概述根据国外媒体的最新报道,
发布时间:2017-02-12 23:10 | 阅读:158084 | 评论:0 | 标签:xss 漏洞 mobile

Swords and Shields – a Study of Mobile Game Hacks and Existing Defenses

论文下载 分析mobile game hack的现状 Hacking Tools General Hacking Tools 通用的hacking tool分两类:memory editing (GameKiller, GameCIH, and GameGuardian); local file editing (CheatDroid) Specific Hacking Tools 还有一些为指定游戏设计的工具:例如Xmodgames,包含32个游戏的重打包版本,重打包的版本去除了原有的保护。 Analysis Techniques Traffic Analysis 通过中间人,网络代理等来修改一些关键网络数据(金币,分数等)。难点如下:首先需要强制让APP的网络数据走分析者的代理。之后数据可
发布时间:2016-12-30 01:30 | 阅读:128567 | 评论:0 | 标签:mobile

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云