Анализ уязвимостей

В этой статье представлен анализ уязвимостей стороннего SDK для мобильных приложений, проведенный исследователями безопасности Ли Бо и Чжан Синь из 360 Vulpecker Team. Команда 360 Vulpecker специализируется на атаках и защите безопасности систем и приложений Android, а также имеет собственную разработанную автоматизированную систему для аудита безопасности приложений Android. Эта статья начинается с статуса безопасности сторонних SDK, обсуждает риски безопасности, связанные с интеграцией SDK, и подробно описывает риски уязвимостей и методы атак различных SDK. На примерах анализируются методы эксплуатации уязвимостей push SDK и Share SDK, а также указывается масштаб воздействия соответствующих уязвимостей на приложения. Наконец, выдвигаются некоторые мысли, призванные привлечь внимание читателей и глубже задуматься о безопасности мобильных приложений.

Уязвимость раскрытия информации о методе ввода Google Android 14 из-за утечки информации по побочным каналам позволяет определить, установлено ли приложение, без запроса разрешений. Это может привести к раскрытию локальной информации без необходимости дополнительных разрешений на выполнение. Эксплуатация этой уязвимости не требует взаимодействия с пользователем.

24 ноября 2021 года группа безопасности Alibaba Cloud сообщила официальным лицам Apache об уязвимости удаленного выполнения кода Apache Log4j2. 01 Описание уязвимости Apache Log4j2 — отличная среда ведения журналов Java. …