모바일 보안
-
타사 SDK 취약점 공개: 모바일 앱 애플리케이션 보안 공격 및 방어에 대한 실용 가이드
이 글에서는 360 Vulpecker Team의 보안 연구원인 Li Bo와 Zhang Xin이 실제로 진행한 모바일 APP 타사 SDK의 취약점 마이닝을 소개합니다. 360 Vulpecker 팀은 안드로이드 시스템과 애플리케이션 보안 공격 및 방어 분야에 중점을 두고 있으며, 안드로이드 애플리케이션 보안 감사를 위한 자동화 시스템을 자체 개발했습니다. 이 기사는 타사 SDK의 보안 상태부터 시작하여 SDK 통합으로 인한 보안 위험에 대해 논의하고 다양한 SDK의 취약점 위험 및 공격 방법을 자세히 소개합니다. Push SDK와 공유 SDK의 취약점 악용 방식을 사례를 통해 분석하고, 해당 취약점이 애플리케이션에 미치는 영향 범위를 지적합니다. 마지막으로 모바일 앱의 보안에 대한 독자들의 관심과 깊이 있는 고민을 불러일으키기 위한 몇 가지 생각을 제시한다.
-
오픈 소스 브라우저 엔진 WebKit 임의 파일 읽기 취약점
Google Chrome은 Google에서 개발한 웹 브라우저로, 오픈 소스 커널(예: WebKit)을 기반으로 하며 간단하고 효율적인 인터페이스로 안정성, 속도 및 보안을 향상시키는 것을 목표로 합니다. 그러나 SVG 이미지 링크의 XSL 스타일시트와 외부 엔터티 참조를 사용하면 공격자는 피해자의 컴퓨터에 있는 임의의 파일을 읽을 수 있습니다.