Schwachstellenanalyse

In diesem Beitrag wird die von den Sicherheitsforschern Bo Lai und Xin Zhang vom 360 Vulpecker Team durchgeführte Suche nach Schwachstellen in SDKs von Drittanbietern für mobile Anwendungen vorgestellt. Das Team konzentriert sich auf den Bereich der Angriffe und der Verteidigung der Sicherheit von Android-Systemen und -Anwendungen und hat selbst ein automatisiertes System für die Sicherheitsprüfung von Android-Anwendungen entwickelt. Dieses Papier beginnt mit dem Sicherheitsstatus von SDKs von Drittanbietern, diskutiert die Sicherheitsrisiken, die durch die SDK-Integration entstehen, und beschreibt im Detail die Sicherheitsrisiken und Angriffsmethoden, die in verschiedenen SDKs existieren. Die Methoden zur Ausnutzung von Schwachstellen bei Push-SDKs und gemeinsam genutzten SDKs werden anhand von Beispielen analysiert, und es wird aufgezeigt, inwieweit sich die damit verbundenen Schwachstellen auf Anwendungen auswirken. Abschließend werden einige Überlegungen vorgestellt, um die Aufmerksamkeit der Leser zu wecken und sie zum Nachdenken über die Sicherheit mobiler APPs anzuregen.

Google Android 14 Input Method Information Disclosure Vulnerability, aufgrund eines Seitenkanal-Informationsoffenlegung, gibt es eine Möglichkeit, potenziell zu bestimmen, ob eine Anwendung installiert ist, ohne die Berechtigungen abzufragen. Dies könnte zu einem lokalen Informationsleck ohne zusätzliche Ausführungsberechtigungen führen. Es ist keine Benutzerinteraktion erforderlich, um die Sicherheitslücke auszunutzen.

Am 24. November 2021 meldete das AliCloud-Sicherheitsteam die Apache Log4j2-Schwachstelle für Remotecodeausführung an die Apache-Beamten. 01 Beschreibung der Schwachstelle Apache Log4j2 ist ein hervorragendes Java-Logging-Framework. ...