由上海交通大学毕业生创立的著名游戏公司——米哈游所开发的游戏得到了世界的认可,但是大家可能不知道,米哈游创始人之一也是G.O.S.S.I.P最早的成员之一,所以安全研究可能成了米哈游的基因之一 ^_^ 今天我们要带大家阅读的就是一篇由米哈游公司研究人员参与的RAID 2021研究论文:
本文研究了Android和iOS平台上app中内嵌的浏览引擎中存在的安全问题,主要在于内嵌的浏览引擎(如下列表所示)缺乏像浏览器那样的UI提示,在URL不正确或者应该存在各种错误提示的时候,内嵌的浏览引擎无法给用户足够的信息(例如用微信打开一个TLS证书不正确的网页,微信就给你返回一个空白的页面,什么提示都看不到)。
作者研究了包括WeChat、Twitter、Gmail、LinkedIn和Reddit在内的25个热门APP(Android和iOS版本),发现他们处理网页打开的流程各不相同。于是作者对浏览网页中8种重要的信息提示进行了详细测试:
论文PDF:
https://daoyuan14.github.io/papers/RAID21_IABI-Usability.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 学术论文推荐 2021-08-12
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论