yueluo

5 posts
RSS

Strandhogg 2.0漏洞预警

近期,在Google的5月份安全公告中,一个等级为严重的漏洞被批露,该漏洞覆盖了除Android10以外,几乎所有版本的设备,通过该漏洞,恶意软件可以在完全隐藏自身的情况下劫持其他应用,并通过钓鱼或诱导的方式合法获取权限,由于其极难察觉,一旦用户中招,个人数据与敏感信息,如照片、短信、通话记录、账号和密码、GPS定位等信息将被盗取。该漏洞利用了多任务功能的漏洞,当用户安装了伪装成普通应用的APP之后,恶意应用可以冒充为设备上任意一款应用的Activity,这体现在,当用户点击被劫持的APP图标之后,显示的是恶意应用叠加在正常APP界面上的钓鱼Activity,通过这个界面来诱导用户给予应用权限,输入账号密码来实现恶意的功能,由于用户点击的是所信任的应用,因此不会有那么重的戒备心,极易上当受骗。所幸的是,该漏洞尚无被广泛利用的迹象,发现该漏洞的Promon研究人员已通报该漏洞,并获得CVE-2020-0096编号,该漏洞已于2020.4.

隐私政策保护中第三方sdk问题

随着法律法规的完善,个人隐私的重视程度不断得到重视,APP中的隐私政策要单独成文,展现给用户授权,在未得到用户的同意的情况下是不得擅自收集用户信息,且不得强制用户授权。个人信息中,常用于收集的设备与环境信息包括:设备型号与序列号、设备 MAC 地址、已安装的app列表、唯一设备识别码(如IMEI/android ID/SIM卡/IMSI信息等)、GPS以及定位、传感器数据等,这些数据也通常是第三方sdk所采集的热点数据,针对这点,在实际开发中,开发者在关注自身代码中是否合规的同时,仍需要注意留意所集成的第三方SDK没有“后门”或超采行为。服务条款在往期的文章《监守自盗成常态?揭弊APP加固厂商盗取个人信息》 (传送门:https:

深度揭秘移动黑产是如何通过插件化技术谋取利益

深度揭秘移动黑产是如何通过插件化技术谋取利益

Part1 从样本看Virtual App在黑产中的应用4月初,Trustlook安全研究人员在使用App Insight对国内某商店进行常规审核时,截获了一个名为“换机精灵”的样本,该应用作为一款换机工具,实则为恶意刷量木马,截止我们发现样本的当日,该应用在国内各大软件市场拥有高达上亿次下载,以下为样本的存档信息: 该恶意软件具备极高的威胁: 具备远程控制的安装任意应用/插件并执行的后门; 利用沙盘技术并主动检测各类杀毒软件逃避检测; 脚本模拟点击、恶意创建桌面快捷方式等; 申请大量权限,收集设备隐私数据并传输到 ky.5rob.com 和 au.goyihu.com 等; 恶意刷量,发送大量网络请求,消耗网络资源 各大应用商店全军覆没自从Trustlook安全人员截获该应用后,

Privacy shown on networks

Privacy shown on networks

In recent years, there have been many data breach events even from some very well-known enterprises, and the security of personal privacy has been attracting people's attention more and more. How to effectively

公共网络上的个人隐私

公共网络上的个人隐私

近年来,多起诸如大数据杀熟,个人信息买卖,数据库泄露事件发生,个人隐私的安全不断地引起人们的注意,如何有效的保护个人信息安全成为了新的难题,而注重个人隐私安全也是用户需要注意的事情。2019年的3.15晚会上,央视报道了使用WiFi探针功能窃取用户隐私的事件,只要用户的手机开启了WiFi功能,搜索身边的无线网络,就会被通过“某种手段”还原成用户画像,你的姓名,手机号,年龄,收入范围等个人信息将被对方采集,这一过程有点耸人听闻吧?那么WiFi功能是如何泄露个人信息的呢?WiFi在主动扫描时,会主动发送自己的设备信息来询问附近是否有可用的WiFi热点,而这个设备信息中,包含了手机WiFi网卡的唯一设备标识符(mac),这个标识符的命名规则由各大厂家遵循,尽可能地会让每个物理设备都有唯一的标识符,而仅仅这一个mac标识符还不足以锁定机主的真实身份,更应该引起思考的是,谁提供了mac与机主绑定的个人信息?今天,我们将通过一个网络实验,