NEWS.ALL
Ruizhao's News Reader

Xserver:一款无需拖壳逆向即可解密APP的通信数据包插件

Xserver:一款无需拖壳逆向即可解密APP的通信数据包插件

背景

相信很多小伙伴在日常APP安全测试的过程中都会遇到数据包被加密的情况,如

对于像我这种不会拖壳、逆向的菜鸡来说,是很痛苦的,frida的hook老是不成功,写的代码总是运行不起来,别说有多痛苦了,最后找啊找,终于找到了一

2020-06-29         FreeBuf

黑灰产的廉价“温床”—跑分平台

背景:上一篇“我被“**APP”诈骗了”发布之后,很多网友私信反映,根据大量留言内容,主要包含两个方面,一方面是他们自己的支付宝收款码、银行卡号被诈骗团伙利用了,另外一方面是自己被骗了,看有没有什么办法追回失去的金钱,这是什么情况?根据我们以往的经验,这很有可能是诈骗团伙使用第三方平台获取的收款码或银行卡信息来逃避追责,以降低安全风险,或者平台跑路。

在恒安嘉新 App全景态势与案件情报溯源挖掘平台上,我们发现一批关于“跑分平台”的应用程序,如图1所示,这类应用程序行为并不复杂

2020-06-12         FreeBuf

被“偷窥”的我们:手机App频繁自启动收集隐私信息

“优学院”十几分钟访问手机照片文件近25000次;“TIM”一小时内自启动近7000次频繁读取通讯录;“全民K歌”“王者荣耀”“新浪微博”可唤醒手机里其余十几个App一起在后台偷偷运行……手机App自启动收集个人隐私的事件令人触目惊心。

据央视新闻报道,大三学生小刘是一个科技发烧友,作为体验用户,他将自己

2020-06-09         FreeBuf

APP安全检测手册

前言

随着运营商新技术新业务的发展,运营商层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、业务逻辑及APP等方面的挑战。随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的安全性将面临越来越多的挑战。

在海量的APP应用中,可能会遇到各种各样的威胁:木马、病毒、篡改、破解、钓鱼、二次打包、信息泄露、资源篡改、信息劫持等。

为有效的针对上述各种威胁进行有效防范,保障

2020-05-21         FreeBuf

关于APP渗透测试的实践与思考

一、前言

移动互联网应用程序(Mobile APP,以下简称“APP”或“移动APP”)安全早已成为信息安全领域中广受关注的热点话题。作为安全检测人员,在日常测试工作中经常涉及移动APP的安全检测,在此结合相关移动APP检测标准和工作经验,从渗透测试角度,对移动APP的检测进行概要性总结说明。

二、目标分析

移动APP的安全问题与传统桌面软件有所不同。虽然现代移动操作系统(如Android和iOS)已比较注重安全防护,但如果APP开发人员在开发

2020-05-19         FreeBuf

APP隐私合规介绍和实施方案

前言:近期咨询app隐私合规的人有点多,正好借这个机会把相关内容整理一下供大家学习参考。

一、背景

目前,大量的移动app在使用过程中,涉及个人隐私信息和敏感信息。在个人信息处理、共享、转让、公开披露过程中,管理流程和技术手段不规范造成个人信息泄露的安全事件层出不穷。

中央网信办、工信部、公安部、市场监管总局指导成立App违法违规收集使用个人信息专项治理工作组(App专项治理工作组

2020-05-07         FreeBuf

挖洞经验 | 静态分析APK文件发现APP应用硬编码密码泄露

afe61b8b3e79eb6a46fc85d2ee1a780a.png

今天给大家分享的Writeup是一篇关于安卓APP的静态分析,由于该APP存在不安全存储和硬编码密码泄露问题,导致可以登录其短信管理系统,劫持其短信接口配置,以下为相关分析研究,希望能对大家有一些参考借鉴作用。

着手开始

由于众测项目范围涉及到相关厂商的某款安卓APP,所以我就在我的安卓手机中下载了这款APP应用,并把其APK文件拿出来做静态分析。在此推荐两个原生快速的APK下载网址:

https://apk.support/apk-downloader

2020-03-13         FreeBuf

App违法风潮:解读《App违法违规收集使用个人信息行为认定方法》

1月8日,工业和信息化部信息通信管理局通报第二批侵害用户权益行为的App名单,15款产品在列。

第一批未按要求完成整改的3家企业,已于1月3日依法组织下架。 

这里面大多都为我们熟识的APP,看到这些不由得胆战心惊,瑞幸也算我们经常点的下午茶,知米也是我们常用来备考的单词软件,简直是太大意了。

那么,自网站的信息安全不断整改之后,app安全也慢慢

2020-01-27         FreeBuf

阿拉伯木马成功汉化,多款APP惨遭模仿用于攻击

概述

近日,奇安信病毒响应中心在日常样本监控过程中发现了一批伪装成点读通.apk、作业帮.apk、手机找回.apk、PUBG.apk等国内用户常用软件的MobiHok家族样本。

样本在执行过程中为了迷惑用户会安装内置的正规APK,真正的恶意程序则隐匿执行,用户在

2020-01-20         FreeBuf

仿冒“百度、微信”应用的风险提示

导读:随着移动互联网的快速发展,用户可以“随时、随地、随心”地享受互联网业务带来的便捷,不管是工作、娱乐、生活、购物等方方方面都在使用着各种APP,既省时又省力的为我们提供很多方便。但是,互联网诈骗、虚假仿冒、勒索无处、“杀猪盘”等网络安全威胁无处不在,用户在享受APP给大家带来便利之时,也要时刻注意我们的个人隐私、财产是否受到安全威胁。

近期,暗影实验室发现两款程序名称叫“微信”、“百度”的应用程序,研究员深入分析后,发现这两款并不是官方应用,而是伪装微信、百度图标,诱骗用户下载,启动后私自

2020-01-17         FreeBuf

致命APP,牟利7亿,10人殒命

最近有一个名为「阿尔法象」的平台,在背后孵化 855 个APP,整个生态链条牟利超过 7 亿元,至少10个人疑似因此失去了生命……

两个月:借 1500 还 50 多万

你想到的可能是暗网,可能是黑客组织,甚至有可能是跨国犯罪组织。都不是,这是离我们最近的深渊——套路贷。

图源 | 新浪财经

从「免息小贷」到拆东墙补西墙,辽宁的方女士在短短两个月内,借款1500变成了50多万。

图源 | 腾讯网

套路贷的

2020-01-07         FreeBuf

FreeBuf早报 | 《App违法违规收集使用个人信息行为认定方法》正式发布;联合国批准俄中提案有关新网络犯罪公约的决议;大学生受网警之托攻破赌博网站,发现4个月流水280万

【全球动态】 1.联合国批准俄中提案有关新网络犯罪公约的决议

上周五,联合国批准了一项新制定的网络犯罪公约决议。该决议是由俄罗斯和中国发起的,并引起了维权组织的担忧,他们担心这一决议可能威胁网络自由。该决议以79票支持通过,60票否决和33票弃权。[外刊-阅读原文]

2.新德里警方拍摄抗议活动视频,利用面部识别软件对人群进行筛查

据印度媒体报道,印度总理莫迪于12月22日参加了在新德里拉姆利拉·迈丹举行的印度人民集会。这是

2019-12-31         FreeBuf

APP隐私保护之二:用户端隐私保护实践(下)

【上篇文章】个人隐私保护之一:隐私政策解析

本篇文章接上篇:APP隐私保护之二:用户端隐私保护实践(上)

四、系统功能授权 4.1.  系统功能开启

系统功能的使用属于个人信息收集的一种特殊方式,在实际应用中,APP会调用如位置信息,拍照等功能获取用户的GPS定位或头像等个人信息。此时就需要APP使用系统的某些功能。

依据《规范》要求,我们要注意所有的系统功能需要用户授权和

2019-12-19         FreeBuf

APP应用的安全保护指南

随着移动应用使用率的大幅增长,其被攻击的风险也在增加。根据Gartner的一项研究,“75%的移动应用程序将无法通过基本的安全测试”。大多数企业主认为移动应用不容易受到网络攻击。然而,对于移动APP黑客已经总结出方便有效的攻击方法与工具脚本,保护移动应用已经成为迫在眉睫的首要任务。

根据大数据资讯机构HPE(慧与)的一项研究中,对600多家公司的2000多个移动应用进行了测试,结果如下:

35%的应用程序通

2019-12-13         FreeBuf

FreeBuf早报 | 百余款App因违法采集信息下架整改?部分App仍可搜索、下载;隔空盗刷又升级,警方发现“嗅探伪基站”;收集售卖儿童用户信息,抖音母公司字节跳动遭到起诉

【全球动态】 1.Instagram将要求新用户提供生日信息,为提供适合各年龄段的使用体验

据外媒报道,Instagram将开始要求所有新用户在注册账号的时候提供他们的生日信息。这一调整现已经开始,获悉,Instagram此举似乎是为了创

2019-12-06         FreeBuf

APP隐私保护之二:用户端隐私保护实践(上)

一、前言

目前APP隐私政策保护主要在以国标GB/T 35273-2017《个人信息安全规范》,APP专项治理工作组编制了《App违法违规收集使用个人信息自评估指南》作为主要标准依据,尤其是《指南》是目前官方可能唯一发布的相对比较具体的重要参考。

上一篇介绍了隐私政策的主要组成部分和一些关键点,本文重点介绍APP用户端的要求和设计方案。

二、 APP端隐私政策授权

在《个人信息安全规范》中要求了隐私政策

2019-12-04         FreeBuf

挖洞经验 | 发现Outlook安卓版本APP跨站漏洞CVE-2019-1105

timg.jpg

Outlook可能算是目前比较流行的邮箱APP之一了,近期,CyberArk公司研究团队就发现了Outlook安卓版本APP的一个跨站漏洞(XSS)- CVE-2019-1105,利用该漏洞可以在E-mail电子邮件中实现任意 JavaScript 代码执行。本文我们就一起来看看该漏洞的具体成因。

漏洞利用

大概的漏洞利用是这样的,如果我们向受害者邮

2019-08-29         FreeBuf

基于某异性交友APP的小数据分析

前言:

我习惯在包里藏一瓶百无聊赖,打发人间的白云和苍狗,一日百无聊赖的我下载了某款异性交友APP,开始了我的异性交友之旅,尬聊了两天成功率为0的我略感苍白。感觉APP里的小姐姐太优秀了,这样尬聊下去注定要孤独一生,于是就在想是否对这些妹子进行大数据分析一波,分析出妹子的需求,才好对症下药。

一、数据抓取 1.1数据源获取

想法有了,数据该从哪里来呢,这个交友APP是采取匹配机制。无法无限爬取。限制如下:

2019-08-02         FreeBuf

FreeBuf街采 | APP,别乱动我们的个人信息

近年来,随着移动互联网的迅猛发展,手机已成为大众生活的必需品。人们几乎都使用智能手机并下载各类App,这些App在提供方便的同时,也可能“偷窃”手机号、通讯录、通话记录、短信记录等隐私信息。为遏制App强制授权、过度索权、超范围收集个人信息现象,网信办、工信部联合多个部门开展APP专项治理工作并成立专项小组。

你有没有遇到过这种情况,刚说了想吃什么,手机就蹦出了它的推荐;

2019-06-25         FreeBuf

超范围收集个人信息等问题成为网民举报热点

近日,记者专访了App专项治理工作组负责人,了解App违法违规收集使用个人信息专项治理相关工作进展情况。

1_IXaA0zAuQ6Ntj2dgqhuZdA.jpeg

据工作组负责人介绍,截至6月11日,共收到举报信息5500余条,其中实名举报信息1800余条。从网民反映的问题看,主要集中在五个方面:一是实际收集的个人信息与业务功能无关,如金融借贷类App收集用户通信录等,占比约31.2%;二是未公开收集

2019-06-14         FreeBuf