2019年第三季度以来,我们SINE安全,APP漏洞检测中心发现许多APP被检测出含有高危漏洞,包括目前漏洞比较严重的SIM卡漏洞以及安卓端、IOS端漏洞,根据上半年的安全检测以及漏洞测试分析发现,目前移动APP软件漏洞的发展速度上涨百分之30,大部分的APP漏洞都已被商业利用以及窃取用户隐私信息,造成APP软件的数据泄露,数据被篡改,等等。
移动安全在保护家庭和企业用户的信息资产方面发挥着越来越重要的作用。随着物联网的出现以及由移动应用程序控制的数以千计的非传统设备,我们手机的安全性对于保护它们所连接的设备变得越来越重要。
事件介绍 这篇报道是关于最近发生的在全球范围内活跃的APT间谍软件的深度研究,Lookup团队已经捕获了样本,并且在一台全新的iOS设备上进行了深度研究。 NSO集团提供的间谍软件套装名为Pegasus(可戏称为天马流星拳),Pegasus是一套高度定制化和自动化的间谍软件,其内置三叉戟(3个iOS的0day漏洞组合),可以有效刺破iOS的安全机制,抵达内核,完全控制手机,然后窃取其中数据。 运用动态库hooking的方式来破坏内核层与应用层的安全机制,包括且不限于语音、电话、GMAIL、FACEBOOK、
10月13日,微软如期发布了10月例行安全更新,修复Windows产品和组件中至少74个安全漏洞,74个漏洞中有3个被评为“严重”,重要级70个。远程代码执行漏洞20个,权限提升21个,信息泄露漏洞13个,拒绝服务5个,安全功能绕过6个。微软同时就新发现的0day网络间谍活动发出紧急告警,腾讯安全专家建议所有用户尽快更新。
近期,Google和Lookout的安全研究专家发现了一款非常复杂的Android间谍软件,它不仅可以从手机的聊天软件中窃取用户的隐私数据,还可以通过手机的摄像头和麦克风来监视用户的一举一动。更重要的是,它还可以进行自毁操作,而正是由于这款间谍软件拥有非常智能的自毁机制,因此它在三年之后的今天才被研究人员发现。 这款间谍软件名叫Chrysaor,攻击者此前曾使用这款Android间谍软件攻击以色列、格鲁吉亚、土耳其和墨西哥等国的活跃分子以及新闻记者。据称,这个间谍软件很可能是由以色列间谍公司NSO Gr
外媒 4 月 6 日消息,思科发布安全公告称其智能安装(SMI)协议遭到滥用,数十万设备在线暴露。目前一些研究人员已经报告了用于智能安装客户端(也称为集成分支客户端(IBC))的智能安装协议可能会允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备,在设备上加载新的 IOS 映像,以及在运行 Cisco IOS 和 IOS XE 软件的交换机上执行高权限 CLI 命令。
常规的APP检查项目中,每个安全测试周期里,肯定是要覆盖客户APP的检查,在一些SRC里 企业里 都是必不可少的一环。
Root,对于任何手机发烧友、玩机客、从事移动设备研发的人员来说,并不陌生,它代表绝大部分移动设备的使用者能够掌握到的最高权限。
目前在国内很多项目都有手机端APP以及IOS端,但对于安全性问题无法确保,常常出现数据被篡改,以及会员金额被篡改,或是被入侵和攻击等问题,接下来由Sinesafe渗透测试工程师带大家更深入的了解如何做APP的安全防护以及漏洞检测原理机制。
事情是这样的,9 月 24 号 Denis Tokarev 发表文章公开披露 4 个 0-day iOS 漏洞,吐槽苹果没有署名感谢,最关键是苹果没有给赏金!
与Android不同,搜索和查找iPhone的黑客工具及应用是一项艰巨的任务。这与ios系统及其强大的安全性不无关系。由于许多黑客工具,必须要以‘root’的权限才能正常运行,而iPhone的越狱却是
Smart Install远程代码执行漏洞 2018年3月28日,Cisco官方发布了CiscoIOS和IOS XE软件存在多个远程代码执行漏洞的安全公告,其中有一个Smart Install远程代码执行漏洞,对应CVE编号:CVE-2018-0171。攻击者可以在未授权的情况下通过重新加载(reload)设备造成拒绝服务条件或者远程执行代码。 漏洞自查方法 方法一:已采购明鉴远程安全评估系统的用户可以通过该产品进行扫描自查 方法二:联系安恒信息官网人工客服索取免费自查漏洞检测工具,该工具除了可以自查设备
3. Cisco Meeting Server CVE-2019-1678拒绝服务漏洞
据Securityaffairs 9月24日消息,一位匿名研究人员在 GitHub 上公布了针对三个 iOS 零日漏洞和一个缺陷的概念验证利用代码。
“Project Zero”是一项由谷歌成立的互联网安全项目,成立时间为2014年7月。该团队主要由谷歌内部顶尖安全工程师组成,旨在发现、追踪和修补全球性的软件安全漏洞。自2019起,团队每年会对过去一年内检测到的0-day漏洞在野利用进行回顾并发布报告。2021年内,“Project Zero”共检测并披露了58个在野外的0-day漏洞,这一数字创下了项目2014年成立以来的新纪录。本篇报告中,“Project Zero”团队详细向我们介绍了被检测到的58个0-day漏洞的类型和攻击模式,并分析了2021年0-day数据暴增的原因。另外,在报告中,我们也可以清晰地看到团队在2022年的工作方向。
IOS端的APP渗透测试在整个互联网上相关的安全文章较少,前几天有位客户的APP数据被篡改,导致用户被随意提现,任意的提币,转币给平台的运营造成了很大的经济损失,通过朋友介绍找到我们SINE安全公司寻求安全解决方案,防止APP继续被篡改与攻击,针对客户的这一情况我们立即成立安全应急响应小组,对客户的APP以及服务器进行了全面的安全渗透。
近日安全研究人员发布了一份漏洞利用代码。这份代码表明,攻击者可以通过足以以假乱真的钓鱼,轻易窃取使用最新iOS版本的iCloud密码。 漏洞原理 这个概念验证性攻击利用了iOS系统中默认的电子邮件程序Mail.app的一个漏洞。自从4月初iOS8.3版本发布以来,该应用就未能从接收邮件消息中适当剔除含有潜在危险的HTML代码。 这个POC正是利用了这一漏洞,它从远程服务器下载一个表单,该表单看起来与合法的iCloud登录提示窗口完全相同。每当用户查看包含“陷阱”的消息时,这个伪造的登录提示窗都可以自动显
本文将对最近Cisco IOS XE两个非常严重的CVE(CVE-2023-20198,CVE-2023-20273)进行分析总结。
作者:Maddie Stone@Google Project Zero 译者:知道创宇404实验室翻译组 原文链接:https://googleprojectzero.blogspot.com/2022/04/the-more-you-know-more-you-know-you.html 这是我们回顾在野利用 0day 漏洞的第三个年度。 2019年: https://googleprojectzero.blogspot.com/2020/07/detection-deficit-year-in-revi
目前越来越多的APP遭受到黑客攻击,包括数据库被篡改,APP里的用户数据被泄露,手机号以及姓名,密码,资料都被盗取,很多平台的APP的银行卡,充值通道,聚合支付接口也都被黑客修改过,导致APP运营者经济损失太大,很多通过老客户的介绍找到我们SINE安全公司,寻求安全防护,防止攻击,根据我们SINESAFE近十年的网络安全从业来分析,大部分网站以及APP被攻击的原因都是网站代码存在漏洞以及服务器系统漏洞,包括安装的服务器软件都存在漏洞。关于APP渗透测试内容,以及如何防止APP被攻击的方法,我们总结一篇文章分享给大家,希望能帮到更多需要帮助的人。
本周,谷歌 Project Zero 项目的研究员 Gal Beniamini 公布了 iPhone Wi-Fi 固件的漏洞利用 POC。这个漏洞(CVE-2017-11120)是个内存损坏(memo
多合一移动安全框架的移动安全渗透测试列表,包括 Android 和 iOS 应用程序渗透测试。
APP渗透测试目前包含了Android端+IOS端的漏洞检测与安全测试,前段时间某金融客户的APP被黑客恶意攻击,导致APP里的用户数据包括平台里的账号,密码,手机号,姓名都被信息泄露,通过老客户的介绍找到我们SINE安全公司寻求安全防护上的技术支持,防止后期APP被攻击以及数据篡改泄露等安全问题的发生。针对于客户发生的网站被黑客攻击以及用户资料泄露的情况,我们立即成立了SINE安全移动端APP应急响应小组,关于APP渗透测试的内容以及如何解决的问题我们做了汇总,通过这篇文章来分享给大家。
客户网站以及APP在正式上线之前,都会找专业的安全公司进行测试,检测网站、APP是否存在漏洞,以及一些安全隐患,大多数的运营者觉得安装一些安全防护软件就足以防止攻击了,越这样,网站APP越容易受到篡改数据,以及攻击等情况时而发生,近几年移动互联网的快速发展,APP应用,网站也越来越多,受到的攻击成几何的增长,有很多客户找到我们SINE安全来进行测试服务,那如何通过测试解决网站APP现有的攻击问题呢,首先我们要了解,什么是测试?
九月份,苹果发布了新品手机 iPhone XS,同时也发布了 iOS 12 更新。此后,新版 iOS 系统的安装率逐渐走高。根据市场调研机构 Mixpanel 的最新统计,截止 10 月 6 日 iOS 12 的安装率已经达到了 50%。新版系统在运行速度、便捷性、互动等性能层面都有所更新,也让人们对其隐私安全性能有了更高期待。
黑客在黑市出售客户数据的事件时有发生,而GitHub作为主流的面向开源及私有软件项目的托管平台,似乎每逢重大数据泄露事件发生,总能看到它的身影。
iPhone手机和Android手机哪个更好,这一直是人们争论的问题。两个支持方都能罗列出充分的证据证明他们的观点,这也是这个问题一直没有结论的关键。 最近Checkmarx and AppSec Labs实验室的一份调查显示,就安全而言,Android优于iPhone。但这貌似有悖于很多人的观点,至少很多公司会建议他们的员工使用iPhone和iPad连接公司网络和访问共享数据。 认为iOS开发平台比Android安全的几个看似合理的理由: 1、iOS对开发者的行为有更加严格的限制,并且有更加严谨的沙箱
如培训现场所言,企业的网络安全是一个体系,方方面面都做的话是一个大工程,即使只是网络安全一个分支也需要较长时间建设,所以在早期需要解决当前主要矛盾(即“止血”,在关键位置先控制住大部分风险)。基于我们几个人过往的从业经验,我们建议各位在以下几个关键位置做好控制,则可以达到事半功倍立竿见影的效果:
1.Appie用于Android Pentesting的便携式软件包,是现有虚拟机的绝佳替代品
上周苹果紧急发布了iOS 9.3.5,修复了三个0day漏洞,这3个漏洞能让攻击者对全球范围内的iPhone进行监听。 这三个漏洞被爆出的起因是因为以为阿联酋的人权活动人士在8月10日、11日,分别收
...8一、智能汽车安全攻防大揭秘 2017年10月23日 360独角兽安全团队(UnicornTeam) (作者), 李均 (作者), 杨卿 (作者), 等 (作者) 本书首先针对汽车研发人员介绍了一些安全基础知识,如加密解密、安全认证、数字签名、常见攻击类型和手段等,然后针对安全研究人员介绍了一些智能汽车的工作原理,如汽车的内网协议、网络架构、X-By-Wire 线控系统原理、常见潜在攻击面等,最后对一些实际的汽车攻击或安全测试案例进行详细分析,并在分析过程中对案例里涉及的漏洞进行防御分析。本书的
基于Java的压力测试工具;适用简单的并发测试,性能不稳定
据MacRumors 8月18日报道,苹果早前发布的用于检测iCloud照片中是否存在儿童色情图片(CSAM)的NeuralHash算法存在漏洞,可能被利用进行原像攻击。
卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述和统计数据。
在渗透测试中,扫描器必不可少,毕竟目标很多,需要检测点也很多,不可能全部手工搞定的,所以很多渗透者都有自己的自动化工具或者脚本,这里就为大家分享一款由我自己开发的一个自动化全网漏洞扫描工具。
在app的安全分析过程中,我们需要检测app的网络接口是否包含有web安全漏洞、或者常见逻辑漏洞等。因此需要捕获app的http、https数据包,从而进行分析。这篇文章主要介绍使用Fiddler捕获app的http、https数据包进行分析。并且介绍有时我们需要分析国外相关app的接口时,如何与访问国外网站设置相结合,捕获国外相关app的http、https数据包。
各位FreeBufer周末好~以下是本周的「FreeBuf周报」,我们总结推荐了本周的热点资讯、优质文章和省心工具,保证大家不错过本周的每一个重点!
近日,德国安全研究员 Sabri Haddouche发现30多种邮件客户端中存在漏洞,可以让任意用户伪造身份发送欺诈邮件并绕过反欺诈保护机制(如 DMARC 等)和多种垃圾邮件过滤器,Sabri把这些邮件客户端漏洞集统称为MailSploit,目前它主要影响 Apple Mail(macOS, iOS, and watchOS)、Mozilla Thunderbird、 部分 Microsoft 客户端、Yahoo Mail、ProtonMail 等,MailSploit漏洞集目前主要包括邮件身份伪造漏
针对分布在不同地理位置上的一些重要银行的iOS平台网银应用,本文主要从传输安全、编译器保护、UIWebView、数据存储、日志文件、二进制文件等方面研究了它们的安全性;此外,本文还将这次的研究结果与2013年进行的针对相同银行的APP安全性结果进行对比,并分析这两年之前iOS平台网银应用安全性的整体发展。 前言 2013年,为了了解一些重要银行移动网银应用的安全性整体情况,我决定开展一项研究。 在这篇博文里,我将展示最新的研究结果,以显示与2013年相同的移动网银应用安全性的发展情况。 研究范围 我的研
据外媒报道,来自Check Point研究团队的《2018年9月全球威胁指数》数据显示,针对iOS设备以及使用Safari浏览器设备的加密挖矿恶意软件数量出现了近400%的增长。Check Point表示:“加密挖矿仍旧是全球组织面临的主要威胁。在9月最后两周,针对iPhone和Safari浏览器的攻击增加了四倍。”据了解,所有针对运行iOS和Safari设备的攻击都使用了JavaScript挖矿程序–Coinhive,它能非常容易地被集成到任何web应用程序中以此来窃取程序打开时的处理能力。
Appie – 轻量级的软件包, 可以用来进行基于Android的渗透测试, 不想使用VM的时候可以尝试一下. Android Tamer – 可以实时监控的虚拟环境, 可以用来进行一系列的安全测试, 恶意软件检测, 渗透测试和逆向分析等. AppUse – AppSec Labs开发的Android的虚拟环境. Mobisec – 移动安全的测试环境, 同样支持实时监控 Santoku – 基于Linux的小型操作系统, 提供一套完整的移动设备司法取证环境, 集成大量Adroind的调试工具, 移动设备取证工具, 渗透测试工具和网络分析工具等.
前段时间我们SINE安全收到客户的渗透测试服务委托,在这之前,客户网站受到攻击,数据被篡改,要求我们对网站进行全面的渗透测试,包括漏洞的检测与测试,逻辑漏洞.垂直水平越权漏洞,文件上传漏洞.等等服务项目,在进行安全测试之前,我们对客户的网站大体的了解了一下,整个平台网站,包括APP,安卓端,IOS端都采用的JSP+oracle数据库架构开发,前端使用VUE,服务器是linux centos系统.下面我们将渗透测试过程里,对文件上传漏洞的检测与webshell的分析进行记录,希望更多的人了解什么是渗透测试.
Flutter作为一种新兴的移动应用程序开发技术,其应用越来越广泛,对于保障移动应用的安全性至关重要。针对Flutter应用程序的安全问题,本文介绍了Flutter应用程序的加固原理,包括代码混淆、资源加密、安全存储、防止动态调试和Hook、漏洞修复等方面的技术和方法。通过学习本文,开发者可以更好地保护Flutter应用程序的安全性,提供更加安全的应用程序给用户使用。
机器之心报道 编辑:泽南、小舟 小心别人发来的 GIF 表情包。 用 iPhone 的小伙伴,今天早晨大多会收到一个系统升级信息。 苹果突然对旗下多个平台的操作系统进行了一次版本更新,覆盖 iOS、macOS 和 watchOS。 距离上一个大版本 iOS 14.7 不到两个月,本周的苹果发布会不到两天,此时放出系统更新不免让人感觉有些奇怪——iOS 14.8 没有新功能,该紧急更新包含两个安全补丁,只为修复一个漏洞。Citizen Lab 的安全研究人员表示,该漏洞很可能被人利用,将间谍软件安装到人们的
最近发现部分 App 以字符串拼接的方法调用私有 API,在提交 AppStore 审核后被发现打回修改的案例。
领取专属 10元无门槛券
手把手带您无忧上云