作者 / Android 系统 UI 高级产品经理 Stefan Frank 博士
上期 #11WeeksOfAndroid 系列文章中内容我们介绍了 联系人和身份,本期我们将聚焦 隐私和安全 。我们将为大家陆续带来 #11WeeksOfAndroid 内容,深入探讨 Android 的各个关键技术点,您不会错过任何重要内容。
出品 | OSC开源社区(ID:oschina2013) 都什么年代了,还在用传统密码?10 月 12 日,谷歌宣布在 Android 和 Chrome 中正式推行密钥登录 “PassKey”,以逐步替代长期使用的密码登录 “PassWord”。 推出的密钥登录可以认为是 “生物密码” 和 “授权登录” 的结合。用户可以在 Android 手机上创建一个基于公钥加密的密钥凭据,创建密钥的时候需要对本人进行生物特征识别,比如 “指纹” 或者 “面部识别” 等。 创建完毕后,这个密钥凭据可用于解锁所有在线
昨天聊到Android新版本对于指纹开发的要求,很多朋友问我,Android新版本对于TEE有哪些具体要求,我们知道android后续版本只会更加强化安全的机制,因此对于TEE的要求就更全面了。前面聊了一下Android O中对TEE加解密算法的新要求。今天我们聊一聊文件加密这个新特性对于TEE有哪些要求! 加密是使用对称加密密钥对Android 设备上的所有用户数据进行编码的过程。加密可确保未经授权方在尝试访问相应数据时无法读取它们。 Android 有两种设备加密方法:全盘加密和文件级加密。
与单页应用程序一样,移动应用程序也无法维护客户机密。因此,移动应用程序还必须使用不需要客户端密码的 OAuth 流程。当前的最佳做法是将授权流程与 PKCE 一起使用,同时启动外部浏览器,以确保本机应用程序无法修改浏览器窗口或检查内容。
有些猝不及防,Android 13 正式版本来了,相比 2021 年 10 月发布的 Android 12,以及 2020 年 9 月发布的 Android 11,今年 Android 13 到来的时间要比过往更早了一些。 ◆ Android 13 现已开源! 首先值得一提的是,Android 13 源代码已经推送到了 Android Open Source Project(AOSP)项目中。当前,Android 13 将从今天开始向 Pixel 设备推出。今年晚些时候,Android 13 会覆盖到更多
最近在做网站的seo优化,想要把网站的url自动提交到搜索引擎。bing和baidu都好说,直接去开通api即可,但是google就比较麻烦,需要下载验证文件。而且当我按照网上的教程来开通api时候,发现教程和实际操作中有很多不一样的地方,不仅耽误了很多时间,还没有成功开通。
Android 间谍软件是最常见的恶意软件之一,攻击者通过 Android 间谍软件来跟踪用户位置、检查 Web 浏览记录,甚至窃取敏感信息(密码和信用卡号等),其对银行机构与客户构成的威胁与 Android 银行木马相媲美。间谍软件还可以利用合法 API 与权限来记录电话呼叫记录、远程管理设备、拦截短信或执行其他任务。
谷歌地球引擎是一个计算平台,允许用户在谷歌的基础设施上运行地理空间分析。与平台交互的方式有以下几种:
本文分享的是作者在渗透测试过程中,通过不同漏洞的组合利用,最终拿下印度某大型电子商务公司数据库权限。(文章已经相关公司许可发布)。
您可以使用JavaScript客户端库与Web应用程序中的Google API(例如,人物,日历和云端硬盘)进行交互。请按照此页面上的说明进行操作。
研究人员发现了第一个已知的间谍软件,它建立在Ahmyth开源恶意软件的基础上,并绕过了谷歌的应用审查过程。这个恶意的应用程序叫做RadioBalouch,又称RBMusic,实际上是一个为Balouchi音乐爱好者提供的流媒体应用程序,而它的关键在于窃取用户的个人数据。该应用两次悄悄地进入了Android官方应用商店,但在我们向谷歌发出警告后,都被谷歌迅速删除。
其实所有的第三方登录都是基于OAuth协议的,大多数平台都支持OAuth2.0,只有Twitter的是基于OAuth1.0来做的。
Android 通过 5G、折叠屏、内置机器学习等新技术,照亮了移动设备的未来。而在这背后,我们也越来越清楚地看到,一个强大的开发者社区有多么重要。这个社区为我们提供及时、全面的反馈,帮助我们打造出强大的平台,从而让开发者们的应用和游戏得以吸引全球数十亿用户。今天,我们发布了 Android 11 的开发者预览版,有了去年打下的基础,今年的预览版得以更早地与大家见面。
当拆开新设备精美的包装,揭去全新屏幕的贴膜,将新设备设置完成后,用户以前使用的应用便已经下载到了设备上,这便是全新移动设备的魔法。然而,当用户尝试使用他们的应用,却不得不重新进行认证时,换机的无缝体验便戛然而止。让用户记住账户凭据,并完成账户恢复流程,这带来的阻力会导致用户抛弃旧账户并创建一个新的账户,甚至直接放弃当前的应用。
Android 致力于帮助用户充分利用最新的创新技术,同时始终将用户的安全和隐私视为第一要务。
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1. 阿里、TikTok 在列,欧盟指定 19 家超大型在线平台接受额外审查 欧盟委员会根据《数字服务法》(DSA)通过了第一项决定,公布该法第一批受监管的大型企业名单。根据新的内容审核规则,19 个主要的在线平台和搜索引擎将受到额外审查,且需在4个月内向委员会提供风险评估报告。 2. 密码退出历史舞台,谷歌支持 Passkey 登录
本文介绍了 Google Play 开发者政策近期的一些重要更新,您也可以通过 线上培训营视频 进行回顾。
在上一期的手把手系列中为大家分享了:如何在iOS中引入FinClip SDK,并将小程序游戏运行到自有App 中。点击查看:👉手把手系列:如何将小程序游戏引入自有APP?(iOS篇) 本周继续分享如何在Android系统中引入FinClip SDK。实现效果:在自有 App 中实现小程序游戏运行使用技术:FinClip (下载/升级最新版IDE即可使用)测试机:Android测试Demo:飞机大战在 Android 项目中引入 FinClip SDK ,实现小程序游戏在 App 中运行,操作如下:第一步:
本来按计划应该学习横向移动,但是发现一个问题,如何横向?这就是我记录这一章的目的,提升权限之后获取凭证,利用已获取的凭证扩大战果才是正确的姿势,学习的主要资料是参考链接中的分享,建议阅读参考的原文,再次说明,我的只是笔记,记录我的学习过程中的所思所想。
之前有跟大家分享过ios系统上引入FinClip SDK,并将小程序游戏运行到自有App 中,这周就继续分享如何在Android系统中引入FinClip SDK。
网络安全研究人员上个月在Google Play商店中发现了广告软件和窃取信息恶意软件,并且至少还有五个在谷歌商店里继续保持上架状态,而它们的下载量已经突破200万次。其中在感染广告软件之后用户设备会显示不必要的广告,这会降低用户体验、耗尽设备电量,甚至产生未经授权的费用。这种软件通常会伪装成设备上的其他应用来隐藏自己,并通过强迫受害者查看或点击附属广告来为远程操作者牟利。但窃取信息的恶意软件更加危险,它会窃取您经常访问的其他网站的登录凭据,包括您的社交媒体和网上银行账户。 Dr. Web antivirus
实现效果:在自有 App 中实现小程序游戏运行 使用技术:FinClip (下载/升级最新版IDE即可使用) 测试机:Android 测试Demo:飞机大战
如果您使用过Google云端硬盘,则您知道它可能是远程文件访问不可或缺的工具。虽然远程存储的标准反对参数之一是“只是携带闪存驱动器”,但只有在需要向Linode添加文件时才能使用。本指南将向您展示如何安装和配置一个很棒的免费软件,以便从运行Ubuntu 14.04或更高版本的Linode访问您的Google云端硬盘。
上一篇搭建Auto-GPT是使用Docker的方式安装。本篇是介绍AutoGPT配置文件中Google API相关的配置。
随着移动设备厂商不断推出新的型号,用户更换设备的频率也越来越频繁。替换新机时,最让用户头疼的问题之一就是数据迁移了。那么不完善的数据迁移会给用户带来哪些糟糕体验呢?我们从下面的案例来看看用户的烦恼。
2021年8月初,一款针对Android银行APP的恶意软件出现在人们的视野中,ThreatFabric 安全研究人员首次发现了这一木马,在其C2服务器的登录面板,研究人员发现,攻击者将其称之为SOVA。 SOVA简介 在俄语中,SOVA译为猫头鹰,或许是攻击者期望该恶意软件如同猫头鹰一般,成为夜间的优秀捕食者。研究人员确认这是一个全新的Android银行木马,且被发现时正处于开发和测试阶段。 与之同时,研究人员还发现,攻击者已经为其未来可实现的功能建立了清晰的路线图。随后几个月的时间里,SOVA陆续
相信很多安卓开发者已经注意到 Google 推出的全新系列博客 Now in Android,向全世界开发者介绍 Android 的最新发展动态。从去年八月一号发出第一篇 Now in Android: Episode #1 , 到最近的 Now in Android #13,每一篇都值得大家一看。
工作了那么多年,我在闲暇之余经常思考这样一个问题,作为一名软件开发人员,我的工作,我的研发价值,真的只存在于产品经理所规划出的这几个业务中吗?
今天简单做一下如何利用salesforce使用【GoogleMaps】,首先登陆到【Google Cloud Platform】,连接如下:https://console.cloud.google.com/
荷兰安全公司ThreatFabric的研究人员将该种恶意软件命名为Vultur。该恶意软件会在目标应用程序打开时记录屏幕,Vultur 会使用 VNC 屏幕共享将失陷主机的屏幕镜像到攻击者控制的服务器。
SharkBot是一种银行木马,它能够绕过多因素身份验证机制窃取银行账户凭据,自2021年10月以来就一直处于活跃的状态。
首先前往Google Cloud Console (并创建一个新项目(如果尚未创建),然后在“API 和服务 > 仪表板”部分中启用“Google+ API”。你会在这样一个界面。
上一篇说了 facebook的实现,接下来说下google 的实现了,国际化的用的少.实际详细的文档也不多,这记录下来!
在本文中,我们将从Python Web开发人员的角度看处理Web身份验证的最常用方法。
Avalonia 是 dotnet 的跨平台 UI 框架,提供灵活的样式系统,并支持 Windows、macOS、Linux、iOS、Android 和 WebAssembly 等多种平台。它被许多人认为是 WPF 的精神继承者,为 XAML 开发人员创建跨平台应用程序提供了熟悉且现代化的开发体验。Avalonia XPF 可以使 WPF 应用在 macOS 和 Linux 上运行而无需进行昂贵且风险高的重写,这也是其商业产品之一。
AutoGPT是Github上的一个免费开源项目,结合了GPT-4和GPT-3.5技术,通过API创建完整的项目。与ChatGPT不同的是,用户不需要不断对AI提问以获得对应回答,在AutoGPT中只需为其提供一个AI名称、描述和五个目标,然后AutoGPT就可以自己完成项目。它可以读写文件、浏览网页、审查自己提示的结果,以及将其与所说的提示历史记录相结合。
本篇继续围绕Android安全为核心知识点。将全面介绍google建议在安全开发的全面知识规范介绍,希望对这块有兴趣的朋友开拓知识面,详解请看结尾推荐的几篇文章。
欺骗凭证提示是一种有效的权限提升和横向移动技术。在 Windows 环境中遇到 Outlook、VPN 和各种其他身份验证协议看似随机的密码提示并不罕见。攻击者将滥用 Windows 和 PowerShell 中内置的功能来调用凭据弹出窗口来获取用户密码。
密码作为我们平时最常使用的用户身份验证方式有其便捷性,但是仔细思考你也不难发现其中存在着较多的安全问题。首先我们的密码是由用户自我定义设置的,期间不排除用户设置弱口令密码或者使用键盘布局的脆弱密码(当然部分考虑安全的系统会制定对应的密码策略对其进行限制),其次即便我们使用了极为复杂的密码,也不能完全规避"社工钓鱼"和"中间人"攻击等威胁,攻击者可以通过脱浏览器端的凭据信息等方式获取用户的密码,再者就是用户都有一个特征就是"惰性",很多用户在多个网站可能会使用同一个登录密码,故此攻击者可以通过找寻被泄露的账户密码获取到真实的账户密码信息并实现登录操作,基于以上多个风险层面,我们接下来对用户的身份认证进行简易的探讨并结合业务、测评等维度给出关联的安全设计
2023 年 10 月,针对越南五十余家金融机构进行攻击的安卓银行木马 GoldDigger 浮出水面。通过对其持续跟踪分析,研究人员发现一整套针对亚太地区的银行木马。
谷歌的API使用的OAuth 2.0协议进行身份验证和授权。谷歌支持常见的OAuth 2.0场景,如那些Web服务器,安装,和客户端应用程序。
2022 年 2 月以来,研究人员发现欧洲的移动恶意软件传播增加了 500%。随着攻击者将目标转向移动端,移动端的攻击行为正在稳步增加。在 2021 年底的急剧下降并未能维持住,而是在 2022 年年初迎来了强势反弹。
安全性是运行WordPress网站最重要的方面之一。我们中的许多人都倾向于认为黑客不会打扰我们的网站,但实际上,未经授权的登录尝试是在公共互联网上运行服务器的常见部分。
这个插件还没有二进制文件可用,因为这个插件还处于非常早期的 alpha 阶段,还没有为公众准备好。如果您想尽早介入,可以尝试自己从源代码构建它。
年初2月,Oversecured公司就利用该系统探测发现了谷歌Google Play Core Library核心库中的一个高危代码执行漏洞,漏洞影响所有依赖调用该库的APP应用程序,攻击者可通过向受害者手机中植入恶意APP应用,然后利用该漏洞窃取用户隐私数据。
微信小程序发展的越来越快,目前小程序甚至取代了大部分 App 的生态位,公司的坑位不增反降,只能让原生应用开发兼顾或换岗进行小程序的开发。
研究人员发现了一种新的凭据窃取恶意软件,名为 Zaraza。该恶意软件使用 Telegram 作为 C&C 的信道,且 Zaraza 是俄语“感染”的意思。 Zaraza 以大量浏览器为攻击目标,并且在俄语 Telegram 频道中积极宣传。一旦 Zaraza 入侵成功,就会检索失陷主机上的敏感数据并将其通过 Telegram 发送给攻击者。 Zaraza 能够通过 38 个浏览器中窃取用户凭据,包括 Google Chrome、Microsoft Edge、Opera、AVG Browser、Brave
领取专属 10元无门槛券
手把手带您无忧上云