首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

TikTok曝高危漏洞允许一键式帐户劫持,回应称已修复

据The Verge 8月31日消息,TikTok版存在一个高危漏洞,攻击者可能借此实现一键式账户劫持,影响数亿用户。...微软365防御研究小组在一篇博文中披露了该漏洞细节,影响范围为23.7.3之前版本。在微软向TikTok报告后,该漏洞已打上补丁。...该漏洞影响了应用deeplink(深度链接)功能。这种深度链接会指令操作系统如何处理链接,例如用户点击嵌入在网页 "关注此账户 "按钮后,会跳转到推特关注某用户。...这种链接处理还包括一个验证过程,但研究人员发现了一种方法,可以绕过这个验证过程,在应用程序执行一些潜在攻击功能。...这可能允许攻击者利用附加JavaScript接口进行一键接管。 该漏洞潜在影响巨大,版TikTok在谷歌应用商店总下载量超过了15亿次。

53820

Shazam地理位置漏洞分析:单击链接即可窃取用户准确位置

漏洞概述 近期,研究人员在流行Shazam应用程序中发现了一个漏洞。在该漏洞帮助下,攻击者只需单击一个链接就可以窃取用户精确位置!...目前,受该漏洞影响用户数量已经超过了一个亿,攻击者只需要通过单击链接即可访问受应用程序权限保护设备功能。实际上,如果攻击者更聪明的话,这个漏洞也可以被转换为零点击漏洞。...漏洞分析 Shazam在整个应用程序功能导航部分使用了DeepLink技术,但是在对该应用程序进行分析过程研究人员发现在导出某个DeepLink(负责在webview中加载网站)并没有对其参数进行验证...webview加载应用程序将附加一个名为WebViewJavascriptBridgeJavaScript接口,该接口可以听过window对象进行访问。...漏洞影响 在这种攻击技术帮助下,攻击者就可以轻松地消除目标用户匿名性保护了。在坏人手中,这可能是危险。只要掌握了正确方法,就可以辨认出隐藏在网络背后匿名用户。

69910
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Navigation系列——入门篇

    作者 大家好,我叫小琪; 本人16年毕业于中南林业科技大学软件工程专业,毕业后在教育行业做开发,后来于19年10月加入37手游团队; 目前主要负责国内发行相关开发,同时兼顾内部几款App开发...,相当于上图中每条线,destination定义跳转目标页,还可以定义跳转动画等等 添加NavHostFragment 在MainActivity布局文件配置NavHostFragment...deeplink 深度链接,就是可以直接跳转到某个页面。...navigation创建深度链接可以通过显示和隐式两种方式 按之前方式新建一个需要通过深度链接打开目标页面FragmentDeepLink, 接下来为它创建一个deeplink [le26d0eia6...隐式链接是当用户点击某个链接时候,通过URI跳转到某个页面,刚刚已经为nav_graph.xmlFragmentDeepLink添加了 <deepLink app:uri="www.deeplink.com

    2.1K51

    历史性胜利!海外“吃鸡”游戏公司在针对谷歌应用市场反垄断审判胜诉

    陪审团对摆在他们面前每个问题一致回答是——谷歌应用分发市场和应用内计费服务市场拥有垄断权力,谷歌在这些市场做了反竞争行为,Epic因这种行为而受到伤害。...毕竟Epic并不是因为金钱损失提起诉讼;它希望法院告诉谷歌,每个应用程序开发人员都有完全自由在系统上推出自己应用程序商店和自己计费系统,但我们还不知道法官如何,或者是否会满足这些愿望。...法官Yvonne Gonzalez Rogers裁定该苹果在本案不存在不公平垄断,部分原因是她认为《堡垒之夜》相关市场是“数字移动游戏交易”,而不是iPhone等产品。...如今在Epic诉谷歌,或许不难想象,谷歌应用商店未来在一定程度上取决于这次判决。Epic希望打破谷歌应用商店和支付方式垄断,这样开发者就不必支付“谷歌税”或将这笔费用转嫁给消费者。...如果Epic获胜,谷歌可能会取消针对侧载应用程序基本保护,从而降低手机安全性,并损害与iPhone竞争能力,因为它无法通过提供竞争性应用程序商店来运行竞争性应用程序商店。

    16710

    系统即将推出全新防盗、数据保护功能

    为了在设备被盗或丢失时保护您个人敏感数据,一款名为「盗窃检测锁」全新人工智能自动屏幕锁会在检测到与盗窃企图相关动作锁定屏幕,比如小偷从您手中抢走设备动作。...为进一步确保窃贼无法访问您敏感数据和应用程序,另一项名为「离线设备锁」新功能会在窃贼断开设备与网络连接后不久,或在检测到太多次失败身份验证尝试自动锁定设备。...正如在2024年谷歌I/O大会上所宣布,新发布15系统还将升级出厂重置保护功能,通过在设置过程要求用户提供谷歌账户凭证,使被盗设备很难或无法出售。...盗窃警报,图源:谷歌 在尝试从不受信任位置访问或更改关键谷歌账户和设备设置,如更改 PIN 码、访问密码钥匙或禁用防盗保护系统也会要求输入 PIN 码、密码或生物识别身份验证。...此外,新版本还将包括所谓「私人空间」,可以使用自己选择 PIN 码锁定,以防止窃贼访问存储在应用程序敏感数据,如健康或财务信息。

    14800

    Vultur 银行木马“卷土重来”,新增远程控制功能

    同时还改进了反分析和检测规避技术,使其操作者能够远程与移动设备交互并获取敏感数据。 据悉,Vultur 最早于2021年初被首次披露,该恶意软件能够利用可访问性服务API来执行其恶意行动。...据 NCC Group 观察,该恶意软件是通过谷歌Play商店上木马程序传播,它们伪装成身份验证器和生产力应用程序,诱导用户安装。...Joshua Kamp 表示:该插件发出第一条短信会引导受害者拨打电话。受害者拨打该号码,欺诈者会向受害者发送第二条短信,其中包括指向恶意程序链接。...麦克菲实验室对此进行了进一步研究说明,称该恶意软件已被嵌入到了 800 多个应用程序。并且有超过 3700 台安设备已被入侵。...这种欺诈攻击是一种典型而有效欺诈方法。 受害者会被要求下载一个特定应用程序,并提交个人信息。一旦这些信息落入骗子手中,他们就可以轻松地从受害者银行账户窃取资金。

    11910

    这就是鸿蒙系统?

    应用商店里应用,也没有见少,差不多都是应用程序程序运行在鸿蒙系统上,非常欢畅,一点也没感觉到运行在一个不是操作系统上。...前几天,媒体报道,从6月2日华为发布HarmonyOS(鸿蒙操作系统)手机系统算起,在不到一周间里升级手机用户数已经超过1000万。...鸿蒙操作系统与华为之前定制版本如此之象,对于应用支持又是如此完美,令人浮想联翩,是不是又一个套壳系统?关于鸿蒙系统是套壳言论,网络上已经很多,无需赘述。...所以基于开发新手机操作系统完全是可行,也不存在卡脖子问题,除非某一天谷歌选择将闭源。即使那样,现在代码依然可以用。 其实Google和苹果也做过这样事情。...比如浏览器内核,苹果工程师在KHTML基础上开发了新内核WebKit。谷歌工程师先是参与WebKit内核开发,用于系统和Chrome浏览器。

    95220

    flutter如何实现deeplink

    1.哪些场景会用到deeplink?...h5唤醒APP(比如活动页,通过短信下发链接等等) 其他APP跳转打开自己APP 2.flutter如何使用 2.1 配置 支持两种app links 和deep links app links...-- ... other tags --> 2.3 在flutter使用 上面我们配置好了android和ios,在浏览器火或其他App可以通过我们定义deeplink...下面,我们需要引入一个插件,帮助我们获取进入链接。首先,安装我们uni_links插件。 uni_links有两个方法供我们使用。一个是获取初始链接,另一个是监听。...我们可以引入bloc或者getX做一个状态管理,在页面监听状态改变,从而实现路由管理。说一个deeplink设计思路, scheme://host/[:tab]/[subpage][?

    2.3K10

    是谁送你来到我身边--广告归因介绍

    Deeplink 什么是Deeplink 广义Deeplink,又叫深度链接,在不同厂家产品可能也有着很多种新产品化名称,如AFOnelink,字节Zlink。...Deferred DeepLink 指移动设备在没有安装目标 App 情况下,用户点击链接,引导用户前往下载安装 App,在其完成后,首次打开该 App 自动跳转至 App 特定深度页面。...App Links, Add Android App Links | Android Developers App Links是6之后推出功能,开发者App在支持Android App Links...Anonymous Device Identifier,应用匿名设备标识符 系统级别 MAC 同iOSMAC,Android Q (10)后禁止获取IMEI IMEI 同iOSIMEI...,由于权限管理起步较晚,目前还可以获取。

    3.3K50

    外媒:中国准备对谷歌发动反垄断调查,目标,最快10月决定

    据路透社等外媒报道,中国正准备对 Alphabet 子公司谷歌发起反垄断调查,这项调查指控谷歌利用其移动操作系统主导地位扼杀其竞争者。 ?...特朗普政府对中国科技公司限制措施包括将华为列入其贸易黑名单,威胁要对芯国际采取类似的行动,并责令 TikTok 所有者字节跳动公司剥离该应用程序在美国业务。...另一位知情人士称,调查可能还将指责谷歌市场地位可能对华为等中国公司造成「极大损失」,因为失去美国科技巨头对操作系统支持可能会导致企业信心和收益下降。...我们尚不清楚国内对于谷歌反垄断调查将涉及哪些业务,目前大多数国内品牌手机都在使用开源,或基于高度定制化操作系统,同时在国行版本中使用自家应用商店和国内服务替代谷歌框架。...9 月 28 日,谷歌产品管理副总裁 Sameer Samat 在开发者社区宣布,所有 Google Play 上开发者在应用内销售虚拟产品,都必须使用 Google Play 结算系统作为付款方式

    60320

    微软打算重新拥抱 弥补曾经4000 亿美元错误

    过去几年里,微软毫不犹豫地决定为和iOS开发应用程序。微软为用户手机提供了多款应用程序,旨在更密切地把和iPhone与Windows 10捆绑在一起。...在基于英特尔Centaurus双屏设备上,微软可能会在应用程序商店中支持应用程序。如果微软也发布了基于ARM双屏设备,兼容应用程序也可能是该方案一部分。 ?...此前,微软暂时允许应用程序使用代号为Astoria微软开发桥移植到Windows 10。...但微软最终在2016年放弃了该方案,并声称iOS桥也可以支持相同应用程序列表移植到Windows 10。但微软iOS桥目前基本上已经不存在,并且在一年多时间里没有更新。...微软创始人比尔·盖茨在近几日由风险投资公司 Village Global 召开创始人纪念活动中表示,他认为微软在移动领域操作系统惨败是他最大错误,因没能让这套标准化非 iOS 平台诞生在微软手中

    86140

    系统Google Admin应用曝0day漏洞,可绕过沙箱

    MWR实验室研究人员发现一个0day漏洞,该漏洞存在于系统Google Admin应用程序处理一些URL方式,通过该漏洞攻击者可以绕过沙箱机制。...漏洞原理 对于谷歌安全团队来说,这个月是一段充满忙碌日子。...该漏洞存在于手机上谷歌Admin应用程序处理一些URL方式。...MWR实验室报告中提到: “谷歌Admin应用接收到一个URL,并且该URL是通过同一设备上任何其他应用IPC调用接收,此时就会出现一个问题。...如果攻击者使用一个file:// URL链接到他们所控制文件,那么将可以使用符号链接绕过同源策略,并能够接收到谷歌Admin沙箱数据。”

    1.1K70

    深度链接(deeplink)唤醒直达App指定内页

    深度链接2.jpg Deeplink在实际运用能起到什么效果?...其中涉及到一些技术要点: 1、URL Scheme(iOS/Android都适用) URL Scheme是实现Deeplink兼容性最高、也最简单一项方法,原生App可以先向操作系统注册一个URL,...:代表想要传递参数 由于涉及到需要打开页面的能力,用于接收从H5传递过来参数,那么还需要一些配置: Android:配置Action和category iOS:原理一致,配置info 工作流程是:当用户点击此类深度链接...及iOS在几个系统版本迭代后,配置方式会有新变化,且机型众多、浏览器众多等问题也会导致出现兼容上麻烦,开发者自行研发的话,资源配置以及系统更新后维护成本相对较高,还要考虑各种各样跳转场景问题...总的来说,深度链接Deeplink)是互联网营销变革不可或缺重要角色,其通用性、易用性、灵活性是短期内无法被替代。结合渠道统计功能,将把这项技术应用场景横向拓展,进一步打破信息壁垒。

    6.7K50

    机器学习为核心,DeepMind助力谷歌开发 9「Pie」今日上线

    本文中,我们将介绍新版本所有新特点。 今年 5 月份,谷歌 I/O 大会宣布推出 9,而后经过数月测试,谷歌收获了大量反馈。...今日,谷歌宣布将把 9 源代码放到开源项目上(AOSP),开始在所有的谷歌 Piexl 手机上用 9。据介绍, 9 拥有的机器学习能力能让手机变得更智能、便利、个性化。...Neural Networks 1.1 9 包含了神经网络 API 新版本,以扩展对设备上机器学习加速支持。...例如,网络拥堵,JobScheduler 可暂缓大型网络请求。未计量,它可运行预读作业以改善用户体验,例如预读标题。...现代 作为 Android 9 项目的一部分,谷歌目标是现代化基础建设,以及在其上运行 app。

    2K10

    改革春风吹满地,新系统Q上线腾讯WeTest

    原文链接:https://wetest.qq.com/lab/view/449.html “刚要适配派,Q就来了。”...分享网页,URL地址已经被复制。 4.通知栏改动:Android Q向左滑动可以跳出“稍后提醒”(Snooze)和“阻止”、“保持沉默”和“提醒我”选项,向右滑动可以删除通知。...更提供谷歌官方非公开API扫描功能,提早发现产品使用 Android SDK是否有非公开 API,帮助用户提早规避新系统适配问题。现已支持免费真机调试及标准兼容服务。...云真机远程调试: 1.设备丰富:拥有从Android 4.1到Android Q版本设备,覆盖市场主流机型,帮助测试和开发者解决手中测试设备不足困境。...还原真实操作,更精准定位问题。 3.完整反馈:使用时可保留截图,查看或下载实时日志。用户可结合标准兼容测试报告结果对问题进行复现检验。

    94110

    数据收集错误使Chrome 79 发布陷入混乱(IT)

    12月13日,星期五早上,应用开发人员和用户开始报告他们遇到一些应用程序数据丢失问题。 因此,谷歌上周六暂停了Chrome 79在设备上发布。...该漏洞会清除某些使用内置WebView应用程序数据,该组件在应用程序内部呈现网页。当用户登录应用程序网页,或者如果默认浏览器缺少自己内部渲染引擎,Chrome就会启动加载内容。...然而,修补代码以解决该问题仍然是工程师们面临挑战。到目前为止,还没有保证补丁能将丢失数据返回到受影响应用程序。 一些Android应用程序在WebView运行。...设备更新到Chrome 79,Web应用程序和WebView应用程序有一些(或全部)本地数据无法访问以供查看。升级后Chrome没有删除旧数据。这些数据可能仍然完整,但目前无法访问。...根据谷歌工程师在技术论坛上解释,清理应用程序进程可能在更新操作后就删除了数据。 在试图修复混乱,将旧文件移动到新位置可能会导致另一个问题。

    1.8K10

    树莓派使用Android系统

    如果想用另一种方式让系统在你树莓派上运行,可以尝试EmteriaOS。 设备清单 下面的设备是我在这篇文章中用到,点击链接直达特别优惠购买。...在树莓派上启动系统 将LineageOS镜像刷新到树莓PiSD卡上后,就可以启动系统了。请注意,如果打算安装谷歌应用,这里配置并不重要,因为需要对系统进行出厂重置。 1....在下一节,我将向您展示如何将谷歌官方应用安装到设备上。 将Gapps安装到Raspberry Pi上 在本节,展示如何安装谷歌应用程序到Raspberry Pi上。...Google Apps完成写入Raspberry Pi后,点击屏幕下方主页按钮。 10. 现在需要对系统进行出厂重置。要进行重置,需要点击 "Wipe"菜单。 11....在Wipe菜单内,需要做就是滑动右下角切换按钮。这个选项将开始树莓派上运行Android操作系统出厂重置过程。 12. 恢复软件完成操作系统重置后,现在可以回到主菜单。

    15.5K20

    新增眼神控制功能!走路玩手机会警报,相册也可以加锁

    首先就是不用再担心走路玩手机撞到电线杆了,更新了一个 Heads Up 功能,这项功能能够识别行走动作,启用 Head Up 功能后,无论何时使用手机,手机检测到用户在走动,都会收到警报,提醒用户去查看并保持警惕...这项功能在Google TV 和其他电视操作系统设备上都可以使用,通过在你手机上快速设置添加远程互动程序,或者通过访问谷歌电视应用程序来访问,并且已经在14个国家可以使用了。...借助Waze、谷歌地图和更多导航应用程序,Android Auto可以轻松地帮助用户进行导航。 连接到兼容汽车,这些Android Auto 功能将很快在手机上可用。...如果你没有兼容汽车,则可以通过谷歌其他方式帮助更好驾驶体验,包括谷歌助手驾驶模式新更新,以及手机上其他功能。...为用户提供了一个密码保护空间,可以单独保存照片和视频,滚动浏览Google Photos或设备上任何其他应用程序时,锁定文件夹内照片不会显示出来。

    1.5K50

    Black Hat Europe分享 | AutoSpill攻击可窃取密码管理器密码

    安全研究人员发现了一种新型攻击手段,并将其命名为AutoSpill,该攻击能在设备上自动填充操作过程窃取账户凭证。...而密码管理器则是利用平台WebView框架,在应用加载如苹果、脸书、微软或谷歌等服务登录页面,自动输入用户账户凭证。...Keeper在保护用户不会自动将凭证填充到未经用户明确授权不受信任应用程序或网站上方面,已经有了安全防护措施。在平台上,尝试将凭证自动填充到应用程序或网站,Keeper会提示用户。...谷歌发言人表示,WebView被开发者以多种方式使用,包括在他们应用托管自己服务登录页面,这个问题与密码管理器在与WebView交互如何利用自动填充APIs有关。...例如,当在上使用谷歌密码管理器进行自动填充,如果用户正在为谷歌认为可能不属于托管应用拥有的域名输入密码,用户会收到警告,并且密码只会填写在适当字段

    18610

    Android 1.5到10.0 都有哪些新特性?

    ; 只需双击就能上传图片至YouTube; 优化了驾车体验,新“Car Home”应用程序为各功能提供了易于操作快捷链接,还能方便地使用语音控制功能,便于用户驾车使用 Android 2.1...Doze电量管理 Android 6.0自带Doze电量管理功能,在“Doze”模式下,手机会在一段时间未检测到移动,让应用休眠清杀后台进程减少功耗,谷歌表示,屏幕处于关闭状态,平均续航时间提高...流量保护模式 7.0新增流量保护模式不仅可以禁止应用在后台使用流量,还会进一步减少该应用在前台流量使用。...谷歌也在7.0设置中加入了汉堡菜单,在二级设置界面左上角,你就会看到这个汉堡菜单,点击后即可看到所有设置项,方便用户快速跳转。...改进Doze休眠机制 谷歌7.0对Doze休眠机制做了进一步优化,在此前6.0,Doze深度休眠机制对于改善续航提供了巨大作用。

    2.1K20
    领券