Schwachstellenanalyse

  • SDK-Schwachstellen von Drittanbietern aufdecken: ein praktischer Leitfaden für Angriffe auf die Sicherheit mobiler Anwendungen und deren Abwehr

    In diesem Beitrag wird die von den Sicherheitsforschern Bo Lai und Xin Zhang vom 360 Vulpecker Team durchgeführte Suche nach Schwachstellen in SDKs von Drittanbietern für mobile Anwendungen vorgestellt. Das Team konzentriert sich auf den Bereich der Angriffe und der Verteidigung der Sicherheit von Android-Systemen und -Anwendungen und hat selbst ein automatisiertes System für die Sicherheitsprüfung von Android-Anwendungen entwickelt. Dieses Papier beginnt mit dem Sicherheitsstatus von SDKs von Drittanbietern, diskutiert die Sicherheitsrisiken, die durch die SDK-Integration entstehen, und beschreibt im Detail die Sicherheitsrisiken und Angriffsmethoden, die in verschiedenen SDKs existieren. Die Methoden zur Ausnutzung von Schwachstellen bei Push-SDKs und gemeinsam genutzten SDKs werden anhand von Beispielen analysiert, und es wird aufgezeigt, inwieweit sich die damit verbundenen Schwachstellen auf Anwendungen auswirken. Abschließend werden einige Überlegungen vorgestellt, um die Aufmerksamkeit der Leser zu wecken und sie zum Nachdenken über die Sicherheit mobiler APPs anzuregen.

    Schreiben vom 14. Dezember 2023 des Ständigen Vertreters von
    04.5K0
  • Google Android 14 Input Method Information Disclosure Schwachstelle und Auswirkungen

    Google Android 14 Input Method Information Disclosure Vulnerability, aufgrund eines Seitenkanal-Informationsoffenlegung, gibt es eine Möglichkeit, potenziell zu bestimmen, ob eine Anwendung installiert ist, ohne die Berechtigungen abzufragen. Dies könnte zu einem lokalen Informationsleck ohne zusätzliche Ausführungsberechtigungen führen. Es ist keine Benutzerinteraktion erforderlich, um die Sicherheitslücke auszunutzen.

    Schreiben vom 23. November 2023 des Ständigen Vertreters von
    14.0K0
  • [Seriös] Open Source Apache Log4j Sicherheitslücke bei der Remotecodeausführung

    Am 24. November 2021 meldete das AliCloud-Sicherheitsteam die Apache Log4j2-Schwachstelle für Remotecodeausführung an die Apache-Beamten. 01 Beschreibung der Schwachstelle Apache Log4j2 ist ein hervorragendes Java-Logging-Framework. ...

    10. Dezember 2021
    23014.9K0