我写这篇文章是为了分享我在 hackerone 的一个私人 bugbounty 程序中发现的一个有趣的 bug,首先我要感谢赛义德·阿卜杜勒哈菲兹帮助我开始做安卓渗透测试,并指导我,当然谢尔盖·托辛他...
标准应用 | GB/T 42574中告知的适用情形相关条款技术解析
前 言在如今的快节奏生活方式下,移动应用让生活变得便捷且丰富多彩,越来越多的人在移动应用上完成娱乐、沟通、购物等活动,这也使得很多厂家都纷纷开发属于自己的移动应用以便于在市场占得一席之地。但是开发移...
2024版OWASP移动应用系统10大安全风险简析
随着移动互联网用户数量急剧增长,移动应用系统已经实现了典型生活场景的全覆盖,并渗透到了多个企业级应用领域。移动应用的快速扩张也带来了诸如数据违规收集、数据恶意滥用、数据非法获取、数据恶意散播等安全风险...
移动应用安全合规动态:Google Firebase泄露敏感数据;4月监管机构通报更新!(第六期)
一、监管部门动向:全国网安标委就《网络安全技术 网络安全运维实施指南》等3项国家标准征求意见;中国社会科学院法学研究所等发布《人工智能示范法2.0(专家建议稿)》。二、安全新闻:Google Fire...
ATT&CK -
OS 供应商提供的通信渠道 Google 和 Apple 分别提供 Google 云消息传递和 Apple 推送通知服务,旨在实现第三方移动应用后端服务器与在各个设备上运行的移动应用之间的高效通信。这...
ATT&CK - 识别第三方软件库中的漏洞
识别第三方软件库中的漏洞 许多应用程序使用第三方软件库,通常没有完全了解应用程序开发人员使用这些库的行为。例如,移动应用程序经常包含广告库,以便为应用程序开发人员产生收入。这些第三方库中的漏洞可能会在...
ATT&CK - 测试绕过自动化移动应用程序的安全分析的能力
测试绕过自动化移动应用程序的安全分析的能力 许多移动设备被配置为只允许从主流供应商的应用程序商店安装应用程序(例如,Apple App Store 和 Google Play Store)。攻击者可以...
ATT&CK - 选择前渗透的移动应用程序的开发人员帐户凭据或签名密钥
选择前渗透的移动应用程序的开发人员帐户凭据或签名密钥 攻击者可以使用现有移动应用开发者的账户凭据或签名密钥将现有移动应用的恶意更新发布到应用商店,或者滥用开发者的身份和声誉发布新的恶意应用。许多移动设...
生成式人工智能对个人信息安全的挑战及应对策略
作者简介武林娜中国信息通信研究院泰尔终端实验室信息安全部、移动应用创新与治理技术工业和信息化部重点实验室工程师,主要从事移动互联网领域信息安全、个人信息保护技术检测与标准研制等方面的工作。宋恺 中国信...
《2023年移动应用安全观测报告》:高危应用占比76.89%,安全问题不容忽视!
✦前言✦随着智能手机和平板电脑等移动设备用户数量的剧增,移动应用的数量和种类亦在不断膨胀,加速了数字化转型的步伐。然而,伴随着这一增长的是移动应用安全形势的日益严峻。我们见证了恶意软件的猖獗、数据泄露...
CVE-2024-21633 - MobSF 远程代码执行
最近,0x33c0unt通过GitHub Advisory平台发现并报告了流行的反编译工具Apktool中的一个重大漏洞。此安全漏洞使攻击者能够操纵目标路径,将包含受控内容的文件写入远程服务器,从而导...
《2023年移动应用安全观测报告》:高危应用占比76.89%,安全问题不容忽视
前言 随着智能手机和平板电脑等移动设备用户数量的剧增,移动应用的数量和种类亦在不断膨胀,加速了数字化转型的步伐。然而,伴随着这一增长的是移动应用安全形势的日益严峻。我们见证了恶意软件的猖獗、数据泄露事...
4