Loading [MathJax]/jax/input/TeX/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >K-12教育应用存在“严重安全风险”

K-12教育应用存在“严重安全风险”

作者头像
FB客服
发布于 2021-12-27 08:54:09
发布于 2021-12-27 08:54:09
6030
举报
文章被收录于专栏:FreeBufFreeBuf

据非营利组织Me2B Alliance近期发布的报告显示,K-12教育使用的许多应用程度存在各种严重的安全问题,其中包括可能导致学生数据“不受监管和失控”地分享给广告公司。

Me2B共对38 所k-12学校使用的 73 个应用程序,发现其中有60%的应用会将学生数据发送给第三方;大约有50%的人讲数据发送给了Google,约有10%的人将数据发送给Facebook。

值得一提的是,Me2B对一个名为“WebView”通用功能的使用进行专门研究,该功能允许开发人员将网页集成到应用程序中。在学校的很多应用中都使用了该功能,它允许学校在应用中集成动态的网页信息(例如日历和体育赛事的结果),且无需更新应用程序。但是,它也很有可能导致学生数据被窃取,更糟糕的是,学生和家长还可能因此成为网络诈骗的目标。

例如,研究人员多次观察到学校应用程序链接的网页被劫持,导致用户访问了恶意网站。马里兰州某个学校曾经使用的一款应用程序就是如此,将用户定向至一个受感染的网站。德克萨斯州的某学校也在应用中集成了一个体育域名,但是这个域名却被一个恶意组织以30美元的价格买下,此类威胁比比皆是。

另外,网络犯罪分子经常会定期扫描过期的URL,并将其用于商业电子邮件入侵计划、网络钓鱼攻击和恶意广告活动。如果学校忘记更新他们的域名,或者一些过期的域名被集成到学校的应用程序中,那么他们很有可能处于威胁之下。

Me2B测试负责人Zach Edwards表示,“类似的情况非常多,很多学校只是为非.gov域名选择了私有域注册商,但是经常忘记及时更新。在我们报告这些问题之前,很多学校甚至都没有意识到,这些域名已经不是他们的了。”

此外,Me2B报告还提供了一些降低安全风险的建议,包括培训应用程序管理员、在学校创建流程以跟踪过期的URL、要求学校在特定时间内报告丢失的域名,以及启动“隐私赏金”计划”在美国教育部审核学校应用程序等。

参考来源

https://therecord.media/study-finds-serious-security-risks-in-k-12-school-apps/?__cf_chl_jschl_tk__=NA6I1_Fdys5e7Xxv6AlvpRFndtiIijDsUE.gEnH8fJc-1640237830-0-gaNycGzNC_0

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-12-26,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
2024年护网行动全国各地面试题汇总(5)作者:————LJS
盛透侧视攻城狮
2025/06/15
1650
为什么多数顶级黑客都来自俄罗斯而非美国?
参考来源 | krebsonsecurity 转载自 | FreeBuf.COM 编译 | secist 相信说到俄罗斯黑客,许多人的第一印象就是“牛掰”。要说到他们的战绩,那也就是干扰过美国、法国、德国大选、曝光过奥运选手用药、入侵过纳斯达克等等。那么为什么俄罗斯的黑客如此“牛气冲天”呢?其实这就要追溯到冷战时期了。 据说从冷战时期开始,俄罗斯对于科学和数学的基础教育就十分重视,而西方国家的教育机构在这方面就显得相对薄弱许多。再加上俄罗斯缺乏像硅谷那样的地方,无法将一些IT专家的技能转化为高薪工作,这也
大数据文摘
2018/05/25
7740
AI时代,如何赢在教育
2017 年,一位身材瘦削的男子登上了世界上历史最悠久的科学节之一——英国科学节的舞台。著名教育家和历史学家安东尼 · 塞尔登凝视着来自世界各地的顶尖研究人员,他宣称,到 2027 年,教师将由人工智能而不是人类来担任。他说,即将到来的技术将迫使教师扮演课堂助手的角色,而技术将成为知识的传播者。他表示,很快,每个人都将拥有最好的教师和完全个性化的教育体验。这个软件将伴随你的整个教育旅程,并且会根据每个学习者的进度来调整速度。
小腾资讯君
2024/08/27
1920
前端安全问题
xss防范 csrf防范 sql注入防范 劫持与https Content-Security-Policy(浏览器自动升级请求) Strict-Transport-Security(配置浏览器和服务器之间安全的通信。它主要是用来防止中间人攻击,因为它强制所有的通信都走TLS) Access-Control-Allow-Origin(这个header是决定哪些网站可以访问资源,通过定义一个通配符来决定是单一的网站还是所有网站可以访问我们的资源) X-Frame-Options(这个header主要用来配置哪些
双愚
2018/05/28
1.3K0
渗透测试基础笔记
渗透测试就是一种通过模拟恶意攻击者的技术与方法,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式。
wuming
2021/01/21
8140
渗透测试基础笔记
谷歌应用商店现木马程序、百万WiFi路由器面临漏洞风险|12月6日全球网络安全热点
卡巴斯基恶意软件分析师称,已发现更多Google Play商店应用程序包含恶意软件,包括特洛伊木马程序。如果您将它们正确下载到手机上,最好立即将其删除。
腾讯安全
2021/12/06
9640
谷歌应用商店现木马程序、百万WiFi路由器面临漏洞风险|12月6日全球网络安全热点
想在30岁前财务自由?看看福布斯评选的30位科创新贵都在做啥
大数据文摘作品,转载要求见文末 编译团队|Elaine琏,刘晓莉,yawei 互联网科技创业热潮,赶上资本寒冬,发展不易,首先得生存。这里统计了目前炙手可热的30家公司,他‍们的涉及职‍业培训、灾害评估、生物评估……等多种领域,最抢眼的地方,莫过于他们都还未超过30岁!现在我们快来先睹为快福布斯最新评选的30位科技圈新贵。 -1- Ian Crosby, 29岁 首席执行官和联合创始人,Bench 摄影:Jamel Toppin for Forbes Ia
大数据文摘
2018/05/24
7500
移动互联网时代,你的个人信息正通过这12种方式泄露
导读:法律保护我们的隐私,但是智能手机会记录来电和短信的日志信息,并且包括检测位置、移动、方向、亮度和附近其他手机的设备。为了更好地为我们服务,许多这些设备都会收集有关我们最细小的偏好和日常生活习惯的信息。
IT阅读排行榜
2020/02/20
1.1K0
移动互联网时代,你的个人信息正通过这12种方式泄露
42图揭秘,「后端技术学些啥」
当一个人或者几十个使用你的系统,哎呀我去,请求秒回,效果倍棒,于是乎简历砰砰写上却多么牛X,当面试官就会问你你这项目做了啥,测试过没,并发量如何,性能如何?你就…..
我是程序员小贱
2020/09/10
4450
42图揭秘,「后端技术学些啥」
9月业务安全月报 | 西北工业大学遭美国国家安全局攻击;顶象发布人脸识别白皮书;《网络安全法》或迎来修改
导语:随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
顶象技术
2022/10/08
1.6K0
9月业务安全月报 | 西北工业大学遭美国国家安全局攻击;顶象发布人脸识别白皮书;《网络安全法》或迎来修改
物联网在教育中的优势和应用
物联网(IoT)领域正在迅速发展,专家们正在开发实用的物联网应用,网络机会和可连接设备。智能建筑技术正在不断发展,我们开始看到物联网应用已在许多不同行业中得到利用,包括医疗保健,酒店,制造,零售等。
用户2605137
2022/04/12
1.2K0
物联网在教育中的优势和应用
全球隐私及数据保护法律政策动态报告
全球隐私及数据保护法律政策动态报告 A Global Report on Laws and Public Policies Relating to Privacy and Data Protection 腾讯互联网与社会研究院 重点摘要: ●新的《欧盟cookies指令》要求网站就存储cookies以及在电脑及其他网络连接设备上恢复信息等问题获得访问者同意。此外,欧洲监管部门正着手起草指导文件,推行被遗忘权。 ●美国联邦贸易委员会开始逐渐加强了对移动应用领域的监控、治理和指引,包括个人
腾讯研究院
2018/02/02
1.8K0
《计算机系统与网络安全》 第二章 计算机网络基础与TCPIP协议安全性
信息网络安全离不开计算机网络,这里我们来学习一下计算机网络的基础,计算机网络是把不同地理区域的计算机系统用专用的外设和通信线路连接起来,在网络软件的控制管理下实现资源共享的系统。计算机网络共享的资源主要包括数据资源、软件资源和硬件资源。目前最大的计算机网络就是internet。
猫头虎
2024/04/08
1430
《计算机系统与网络安全》 第二章 计算机网络基础与TCPIP协议安全性
国家推进教育新基建:聚焦信息网络、平台体系、数字资源、智慧校园、创新应用、可信安全等方面的新型基础设施体系
教育部等六部门关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见 教科信〔2021〕2号 各省、自治区、直辖市教育厅(教委)、网信办、发展改革委、工业和信息化主管部门、通信管理局、财政厅(局)、中国人民银行分行,新疆生产建设兵团教育局、网信办、发展改革委、工业和信息化主管部门、财政局、中国人民银行分行,部属各高等学校、部省合建各高等学校: 教育新型基础设施是以新发展理念为引领,以信息化为主导,面向教育高质量发展需要,聚焦信息网络、平台体系、数字资源、智慧校园、创新应用、可信安全等方面的新型基础设施
云头条
2022/03/18
6500
专科学生自学Java半年,直接拿下12K的offer,运气真的也是很重要!
通过这个故事我希望学弟们不要像我一样,等到临近毕业后才醒悟要学习知识学习技术的重要性,能趁早尽量要趁早,过去应该做的事情没有去做,后面都需要你加倍补回来。
Java程序猿
2021/06/15
5950
性能测试之k6篇
背景 项目的目标是为客户交付一个ToC的APP,其后端是基于RESTful的微服务架构,同时后端还采用了Protobuf协议来提高传输效率。在最终上线之前,我们需要执行性能测试以确定系统在正常和预期峰值负载条件下的表现,从而识别应用程序的最大运行容量以及存在的瓶颈,并针对性能问题进行优化以提升用户体验。 性能测试是一个较为复杂的任务,包括确定性能测试目标,工具选择,脚本开发,CI集成,结果分析,性能调优等过程,需要QA,Dev,Devops协力合作。本文将对这一系列过程进行详细描述。 为什么选择k6 在得知
ThoughtWorks
2022/05/20
1.8K0
性能测试之k6篇
技嘉遭受勒索软件攻击、联邦调查局取缔了黑客组织 Revil|全球网络安全热点
政府已经成功地破解了黑客组织雷维尔的勒索背后的实体,对企业软件供应商的攻击。联邦调查局、特勤局、网络司令部和其他国家的组织已共同努力,本月将该组织的业务下线。据报道,该组织的暗网博客暴露了从其目标收集的信息,但也处于离线状态。
腾讯安全
2021/10/25
8690
技嘉遭受勒索软件攻击、联邦调查局取缔了黑客组织 Revil|全球网络安全热点
【愚公系列】《网络安全应急管理与技术实践》 005-网络安全应急技术与实践(黑客入侵技术)
WHOIS查询是一种用于确定域名或IP地址的所有者和注册信息的公共数据库查询服务。使用WHOIS查询,您可以查找域名的注册商、注册日期、到期日期、域名所有者的联系信息以及域名服务器等相关信息。
愚公搬代码
2024/09/13
2490
渗透测试web安全综述(4)——OWASP Top 10安全风险与防护
OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)是一个在线社区,开源的、非盈利的全球性安全组织,主要在Web应用安全领域提供文章、方法论、文档、工具和技术,致力于应用软件的安全研究。
zhouzhou的奇妙编程
2024/09/18
8980
iOS审核拒绝苹果官方原因详解
1.1不当内容应用程序不应该包括攻击性,敏感,令人不悦,侮辱或者品味低下的内容。例如: 1.1.1 诽谤或者人格侮辱的内容,包括引用或者评论宗教、种族、性取向、性别或者其他目标群体的内容,特别是该应用对特定的人群造成了伤害(只有专业的政治讽刺作家和幽默大师才不会受到此限制)。 1.1.2 对人或动物被杀害、致残、折磨、虐待的逼真的描述或者具有暴力倾向的内容。如果是游戏,那么其中的敌人不能只针对特定的种族、文化、政府、公司以及任何其他实体。 1.1.3 鼓励人们非法或者轻率使用武器和危险品的内容,或者方便人们
GuangdongQi
2018/05/24
3.5K0
推荐阅读
2024年护网行动全国各地面试题汇总(5)作者:————LJS
1650
为什么多数顶级黑客都来自俄罗斯而非美国?
7740
AI时代,如何赢在教育
1920
前端安全问题
1.3K0
渗透测试基础笔记
8140
谷歌应用商店现木马程序、百万WiFi路由器面临漏洞风险|12月6日全球网络安全热点
9640
想在30岁前财务自由?看看福布斯评选的30位科创新贵都在做啥
7500
移动互联网时代,你的个人信息正通过这12种方式泄露
1.1K0
42图揭秘,「后端技术学些啥」
4450
9月业务安全月报 | 西北工业大学遭美国国家安全局攻击;顶象发布人脸识别白皮书;《网络安全法》或迎来修改
1.6K0
物联网在教育中的优势和应用
1.2K0
全球隐私及数据保护法律政策动态报告
1.8K0
《计算机系统与网络安全》 第二章 计算机网络基础与TCPIP协议安全性
1430
国家推进教育新基建:聚焦信息网络、平台体系、数字资源、智慧校园、创新应用、可信安全等方面的新型基础设施体系
6500
专科学生自学Java半年,直接拿下12K的offer,运气真的也是很重要!
5950
性能测试之k6篇
1.8K0
技嘉遭受勒索软件攻击、联邦调查局取缔了黑客组织 Revil|全球网络安全热点
8690
【愚公系列】《网络安全应急管理与技术实践》 005-网络安全应急技术与实践(黑客入侵技术)
2490
渗透测试web安全综述(4)——OWASP Top 10安全风险与防护
8980
iOS审核拒绝苹果官方原因详解
3.5K0
相关推荐
2024年护网行动全国各地面试题汇总(5)作者:————LJS
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档