开发者服务平台

关于 admin2022

该作者尚未填入任何详情。
目前admin2022已创建了6篇文章.

移动端安全比较实用的开源工具

在移动端开发和逆向过程中免不了要面对 安全问题和合规问题这两座大山,面对安全问题这个不管从攻击方或防守方来说都是一个不断迭代升级的过程,只有在不断进行安全技术提升才能更好保障业务的发展。 下面从网络上整理了一些移动端安全和合规的开源代码,可用于移动端安全的借鉴和思路的学习。 Apkleaks源码 它是基于jadx进行对app反编译,用户扫描APK文件中的 URI、端点和机密信息。 https://github.com/dwisiswant0/apkleaks AppInfoScanner源码 一款适用于在移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具,可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如:Title、Domain、CDN、指纹信息、状态信息等。 https://github.com/kelvinBen/AppInfoScanner [...]

|2022-10-21T22:32:40+08:002022年10月21日|技术分享|0 条评论

不同业务场景的个人信息安全合规及应对策略

如今,公民的个人信息安全面临着越来越严峻的挑战,个人信息被超范围收集、违规使用、滥用、 泄露的情况层出不穷。在国家相关法规的实施以及监管政策的驱动下,已逐步形成“国家监管、行业实践、公民个人”的个人信息保护机制,并通过多方力量的共同努力,来牢筑网络安全防线,从法律法规层面来保障广大人民群众的个人信息安全。 个人信息安全的保护在国家监管政策的促进下,一方面,推动着个人信息安全知识的传播,提高民众个人信息安全保护意识,另一方面,鼓励相关企业开展APP安全认证、进行个人信息保护体系建设,并以政策文件、法律法规为指导开展APP检测评估、整改等,以保证满足合规要求。爱加密作为国内知名的移动信息安全综合服务提供商,可针对不同的个人信息安全业务场景,提供专业的移动应用个人信息安全检测、个人信息安全合规测评服务,强大的安全检测技术和合规能力,帮助快速实现个人信息的合法合规。                [...]

|2022-10-21T22:00:24+08:002022年10月21日|技术分享|0 条评论

以核心技术,持续领跑移动应用安全领域

大数据时代,数字化转型已成为企业创新驱动的重要途径,在新兴技术的快速发展下,衍生出各种新业态、新模式和新服务,同时也会引发不同程度的安全隐患、合规风险等问题。因此,企业在数字产业战略的部署进程中,应加大网络安全投入,建全企业安全合规体系以及防护机制,为企业数字化转型中及转型后的持续稳定发展提供保障。 作为国内知名的移动信息安全综合服务提供商,爱加密在深耕移动安全领域的同时,充分发挥自身技术优势,通过不断的探索与实践,逐步覆盖更加广泛的安全业务场景,赋能更多行业客户的安全运营。一方面, 在网络安全强国战略指导下,不断提升产品实力和服务能力,升级完善满足市场需求;另一方面,围绕合规监管和企业安全,通过自研产品+生态合作+安全服务相结合,为监管机构、金融、政企、运营商、中小企业等行业客户提供移动安全与合规的全链接解决方案。 领先专业技术,为移动应用安全生态赋能 1、核心智能AI爬虫获取泛在应用安全大数据。在确保符合国家法律政策规范的前提下,能够突破业内技术限制,获取应用市场、网盘、物联网应用门户、工业互联网APP、论坛、微信等全渠道中Android、iOS、嵌入式系统、微信小程序、微信公众号数据信息,构建业内规模较大,覆盖较广的泛在应用安全大数据平台。安全数据库中包括Android App 370万款, Android应用包约2500万个,iOS App250万款,公众号550万个,微信小程序106万个,SDK6000个,行业权限库近400个,恶意应用检测40多万,违规内容检测数据100多万,盗版检测约11万个,IP收录1亿多条,处于业内的领先水平。 2、智能化静态检测和动态沙箱检测技术。通过安全大数据库的自学习进化,数据赋能增强检测技术,能够对应用在资产分析、权限违规使用、恶意程序、通用安全漏洞、数据安全、个人信息安全、内容违规等安全的全维度进行分析,并且给出最佳实践建议。以安卓应用检测为例,静态和动态技术能够检测超过107个检测项。 3、JAVA、C/C++层代码防护。不仅针对JAVA,同时深入到了C/C++层的代码进行防护。利用C/C++源码的加固防护能力,实现对物联网、工业互联网嵌入式环境的应用和代码防护,在防护平台、防护深度等方面具备业界的领先优势。 [...]

|2022-10-21T21:44:55+08:002022年10月21日|技术分享|0 条评论

智能网联汽车信息安全风险分析及实践探讨

智能网联汽车是汽车与信息、通信等产业跨界融合的典型应用,被认为是全球创新热点和未来产业发展制高点。随着汽车智能化、网联化程度的加深,人们实现了对汽车的更多控制,为生活带来了各种便利,但随之而来的远程攻击、恶意控制甚至入网车辆被操控等安全隐患也日益明显,如何保障智能车辆安全,实现便捷性与安全性之间的矛盾成为汽车智能化发展的重要环节。 巨大发展潜力下的安全隐患 智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与X(人、车、路、云端等)智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现“安全、高效、舒适、节能”行驶,并最终可实现替代人来操作的新一代汽车,随着技术的发展,智能化功能越来越丰富。 2018年1月,国家发改委发布的《智能汽车创新发展战略》(征求意见稿)中提出,到2020年,智能汽车新车占比将达到50%。按照该战略的规划,汽车产品将由以往的机械化产品向智能化控制产品转变;在应用层上,汽车将成为兼顾办公、居家、娱乐的智能化移动空间。 智能汽车从规模到应用都极具潜力,但令人担忧的是,车联网功能的安全性问题也日益凸显。2015年,两名白帽黑客远程入侵了一辆正在路上行驶的切诺基(自由光),并对其做出减速、关闭引擎、突然制动或者制动失灵等操控,克莱斯勒为了防止汽车被黑客攻击,在全球召回了140万辆车并安装了相应补丁。2016年,腾讯科恩实验室宣布他们以“远程无物理接触”的方式成功入侵了特斯拉汽车,从而对车辆的停车状态和行进状态进行远程控制。黑客们实现了不用钥匙打开了汽车车门,在行驶中突然打开后备箱、关闭后视镜及突然刹车等远程控制。2017年,一家网络安全公司称现代汽车App存在漏洞,黑客能够远程启动现代公司的汽车,现代证实了这个漏洞的存在。同年,软件安全工程师Jay Turla对马自达汽车展开了一项开源网络攻击项目,使得任何人都能利用一个U盘就对马自达汽车执行恶意软件代码。不久前据英国广播公司报道,国内一家网络安全实验室的研究显示宝马汽车的电脑系统存在14处漏洞,黑客可利用这些漏洞在汽车行驶时取得部分控制权,可通过插入U盘、使用蓝牙以及车辆自带的3G/4G数据连接等方式控制汽车。甚至随着技术的发展,如《速度与激情8》中,黑客通过入侵智能网联汽车自动驾驶系统给控制上千辆无人汽车组成的“僵尸车”军团也不再只是存在于荧幕的特效,更让人不得不在享受到其舒适、便利的同时,加速对智能汽车信息安全问题的深入审视。 智能汽车安全保障势在必行 智能网联汽车信息安全可以分为内外两套安全体系,分别是“端-管-云”的车外网络信息安全和“车载端、车内网关-车内网络、ECU节点”的车内网络信息安全,随着汽车智能化和网联化的增长,内外体系的数据交互会逐渐增加。信息安全作为汽车的一个属性,需要建立在汽车内部网络架构的基础上,安全保障体系也需要与智能网联汽车应用同步部署。 2017年6正式施行的《中华人民共和国网络安全法》要求智能网联汽车制造厂商、车联网运营商“采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。” 2017年12月,工信部、国家标准化管理委员会联合发布《国家车联网产业标准体系建设指南》(以下简称指南),确定了智能网联汽车的标准体系,其中就包括信息安全方面的通用规范类标准。今年3月,工信部装备工业司发布《2018年智能网联汽车标准化工作要点》工信部发布的工作要点共提及五项重点标准,“汽车信息安全标准”是其中之一。推进该标准制定的具体工作包括完成汽车信息安全通用技术、车载网关、信息交互系统、电动汽车远程管理与服务、电动汽车充电等5项基础通用标准的立项工作;启动汽车信息安全风险评估、安全漏洞与应急响应、软件升级及整车信息安全测试评价等4项国家标准项目的预研和立项。 [...]

|2022-10-21T21:41:47+08:002022年10月21日|技术分享|0 条评论

这些新规与你有关,互联网弹窗不得推送新闻信息,算法模型不得诱导用户沉迷

为了进一步规范互联网弹窗信息推送服务管理,保障公民、法人和其他组织的合法权益,弘扬社会主义核心价值观,营造清朗网络空间,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》《中华人民共和国广告法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等法律法规,制定本规定。 相关名词定义 ● 互联网弹窗信息推送服务 本规定所称互联网弹窗信息推送服务,是指通过操作系统、终端设备、应用软件、网站等,以弹出消息窗口页面形式向互联网用户提供的信息推送服务。 ● 互联网弹窗信息推送服务 本规定所称互联网弹窗信息推送服务提供者,是指提供互联网弹窗信息推送服务的操作系统、终端设备、应用软件、网站等所有者或者运营者。 征求意见稿第五条指出,互联网弹窗信息推送服务应当严格遵守下列要求: (一)传播正能量,弘扬社会主义先进文化;积极推送向上向善的内容,用社会主流思想价值和道德文化滋养人心、滋润社会。 (二)不得推送《网络信息内容生态治理规定》明确的违法和不良信息,特别是恶意炒作娱乐八卦、绯闻隐私、奢靡炫富、审丑扮丑等违背公序良俗内容;不得关联某一话题集中推送相关旧闻,恶意翻炒。 (三同意或者取得相关许可的,应当经有关主管部门审核同意或者取得相关许可。 [...]

|2022-10-21T21:03:29+08:002022年10月21日|技术分享|0 条评论

当心,这些APP又在偷偷窃取你的隐私

2022年4月24日下午,国家计算机病毒应急处理中心公布了近期通过互联网监测发现的17款存在隐私不合规行为的移动App,包括中邮证券、西部证券、优顾炒股等,违反网络安全法、个人信息保护法等相关规定,涉嫌超范围采集个人隐私信息。 其中,有16款App未向用户明示申请的全部隐私权限,涉嫌隐私不合规。包括: 《优顾炒股》(版本 6.6.73,360 手机助手)《牛股王股票》(版本 6.2.7,360 手机助手)《广发易淘金》(版本 10.1.0.0,百度手机助手)《西部证券》(版本 4.0.3,华为应用市场)《e 海通财》(版本 [...]

|2022-10-21T11:31:38+08:002022年10月21日|技术分享|0 条评论
返回顶部