来自 应用 2021-10-12 00:16 的文章

高防cdn_云丝盾_免费试用

高防cdn_云丝盾_免费试用

众所周知,智能手机是现代人最好的朋友。今天全世界有超过70亿的移动设备在使用,它们的增长速度是人类的5倍。随着全球范围内大量私人信息的传输,对强大的移动安全的需求变得至关重要。不幸的是,有关新漏洞和高调违规的消息正如雨点般降临在我们身上。 越来越多的日常功能通过智能手机和平板电脑来实现,其中大部分功能都运行在Android和iOS平台上。例如,2014年,PayPal移动交易额突破4600万美元大关。这使得网络犯罪成为一个有利可图的行业,黑客不断寻找新的方法来利用移动应用程序中的应用层漏洞。 错误的移动应用程序开发过程和漏洞百出的应用程序代码使研究人员大量生产出性质严重的poc。这篇文章将只涉及最近几周的其中一些。你只想知道三星快捷键漏洞 SwiftKey应用程序预装在所有三星设备上。超过6亿三星用户都有这个易受攻击的键盘软件,也无法卸载。其中包括所有先进的三星旗舰-Galaxy S4,Galaxy S5和最近发布的Galaxy S6/S6 edge。Ryan Welton发布的概念证明(POC)清楚地显示了漏洞是如何被利用的。 易受攻击的三星设备和黑客的恶意WiFi连接(热点)是一个潜在的灾难。黑客可以简单地操纵SwiftKey机制并以特权系统用户的身份执行恶意负载。另一个需要注意的重要事项是,即使没有将SwiftKey应用程序选为设备上的默认选项,也可以利用此漏洞进行攻击。    SwiftKey使用设备的私钥进行签名,并使用可用的最高特权上下文(系统用户)运行。这是黑客除了根用户访问权限之外可以获得的最接近的权限。该漏洞在重新启动或更新应用程序后自动激活。黑客基本上欺骗应用程序执行恶意负载(远程代码注入)。 然后,黑客可以执行以下恶意操作: 访问设备的地理标记(GPS)功能。在受害者不知情/不允许的情况下安装其他应用程序。操作手机上以前安装的应用程序中的设置。收集传入/传出消息并监听语音呼叫。获取私人数据,如联系人列表和照片库。 三星已经正式承认了这个漏洞,防御ddos免费,并承诺在不久的将来提供一个安全补丁。但是,由于所有三星设备上都没有专有的KNOX安全工具,而且不同移动运营商的补丁发布策略也不尽相同,因此缓解风险将是一个漫长的过程。不用说,拥有植根手机和定制rom的用户将保持曝光。 相关报道:巴基斯坦道德黑客揭露他如何暴露Android漏洞 苹果iPhone的移动安全性充其量也不稳定 应用层漏洞并非Android独有。苹果的iOS也在不断遭受黑客、欺骗和操纵。以下是最近几周的几个例子: 神秘的短信漏洞——一条由阿拉伯文和中文非拉丁字符组成的恶意短信,只会导致苹果设备(iPhone、iPad甚至iWatches)核心文本系统崩溃。如下面的视频所示,腾讯ddos云防御,一旦受害者试图通过iWatch上的Siri回复恶意消息,防御cc盾,设备就会自动冻结、崩溃并关闭。  苹果最初没有对调查结果做出回应,但一旦这一消息传播开来,它就发布了一份简短的确认声明,并承诺在即将到来的更新中提供一个安全补丁。 一个由六名大学生组成的小组最近发布了一份名为《MacOSX和iOS上未经授权的跨应用程序资源访问》(Unauthorized Cross App Resource Access on MacOSX and iOS)的研究论文,揭露了苹果平台上的诸多问题。 研究人员设法通过苹果严格的应用程序商店安全过滤程序,使他们的恶意软件暴露出他们的移动和网络平台上的各种漏洞。最令人震惊的问题是他们破解用于存储密码、登录信息和其他苹果应用程序凭证的钥匙链服务的能力。 在移动iOS和webos-X平台之间的应用程序间通信机制中也发现了许多弱点,这些机制能够从Evernote和Facebook等广泛使用的应用程序中获取敏感信息。在新的OS X 10.10.3上,一个沙盒应用程序被用来利用银行信息Chrome。 无休止的重启周期——另一个令人担忧的发现是来自安全公司Skycure的Adi Sharabani和Yair Amit。他们在最近的rsa2015上发表的研究论文《没有iOS区域》展示了恶意WiFi热点会如何导致iphone进入无休止的重启周期。苹果仍未对调查结果作出回应。 移动安全就是要巩固基础——应用程序代码 不幸的是,从用户方面来说,要想消除这些问题并没有太多的办法。使用官方rom和应用更新,同时避免越狱和寻根,显然是必须的。但即使是这些预防措施,加上安全WiFi热点的使用,也无法掩盖最终导致黑客攻击机会的应用层漏洞。 安全应用程序开发是无法替代的,它可以增强代码完整性并减少恶意攻击者利用的机会。 OWASP Mobile Top 10是一个公认的漏洞列表,所有开发移动应用程序的组织都应将其作为基准。这个列表是由来自世界各地的具有处理此类威胁的实际经验的领先的InfoSec专家创建和更新的。sans25是另一个流行的参考列表。 组织必须有适当的安全解决方案,完全防御ddos,这些解决方案可以集成到软件开发生命周期(SDLC)中,搭建高防cdn,以便尽早检测和修复漏洞。传统的安全技术,如动态应用程序安全测试(DAST)和笔测试,不支持这一关键要求。 在这里,静态应用程序安全测试(SAST)方法(如静态代码分析(SCA))可以提供现成的解决方案,以确保发生以下情况: 在集成到应用程序之前测试第三方工具(即键盘)。数据泄漏检查,以确保涉及金融交易(银行、博彩等)的应用程序符合PCI-DSS。确保正确的加密和密钥管理(使用强算法)。指向应该删除的缓存,特别是在敏感应用程序中。确保日志输出被禁用,并且敏感数据不会显示在多任务屏幕上。 还应特别注意对跨应用程序功能的监控,这是制造商在为其设备开发官方rom时必须解决的问题。当安全性与开发同时进行时,这是最好的实现,这在理想情况下意味着过程的自动化(securesdlc/sSDLC)。 移动应用程序的安全性是现代最大的挑战之一。只有健壮的应用程序代码才能帮助组织为用户提供应有的安全性。AndroidAppleGalaxy S6iOS应用程序安全性iphoneiwatchmobile SecurityOS xovaspsamsungsans 25SwiftKey生物最新帖子莎朗·所罗门莎朗·所罗门的最新帖子物联网(IoT)-破解我的军队-2016年3月14日静态代码分析工具-AppSec检查表-2016年3月3日你想知道的关于HTML5安全的所有信息-2016年2月15日