Мобильная безопасность

  • Выявление уязвимостей стороннего SDK: практическое руководство по атакам и защите безопасности мобильных приложений

    В этой статье представлен анализ уязвимостей стороннего SDK для мобильных приложений, проведенный исследователями безопасности Ли Бо и Чжан Синь из 360 Vulpecker Team. Команда 360 Vulpecker специализируется на атаках и защите безопасности систем и приложений Android, а также имеет собственную разработанную автоматизированную систему для аудита безопасности приложений Android. Эта статья начинается с статуса безопасности сторонних SDK, обсуждает риски безопасности, связанные с интеграцией SDK, и подробно описывает риски уязвимостей и методы атак различных SDK. На примерах анализируются методы эксплуатации уязвимостей push SDK и Share SDK, а также указывается масштаб воздействия соответствующих уязвимостей на приложения. Наконец, выдвигаются некоторые мысли, призванные привлечь внимание читателей и глубже задуматься о безопасности мобильных приложений.

  • Браузерный движок с открытым исходным кодом WebKit, уязвимость чтения произвольных файлов

    Google Chrome — веб-браузер, разработанный Google. Он основан на ядре с открытым исходным кодом (например, WebKit) и направлен на повышение стабильности, скорости и безопасности благодаря простому и эффективному интерфейсу. Однако, используя таблицы стилей XSL и ссылки на внешние объекты в ссылках на изображения SVG, злоумышленник может читать произвольные файлы на компьютере жертвы.