首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Android 绿色应用公约

2, 不在运行时强制请求『读取手机状态和身份(READ_PHONE_STATE)』权限。 原因:IMEI泄露是目前用户隐私和手机安全中一个突出问题。...由于Android系统仅仅将其显示为『读取手机状态和身份』,使得大部分用户在应用请求此项权限时虽然困惑,仍未意识到授予这个权限背后存在安全隐患。...若应用中某些功能(如通话相关特性)依赖此权限(须具备逻辑上合理性),则只能在对应功能交互中请求权限。即便用户拒绝授予权限,不依赖此权限功能仍须保持可用。...3,除用户主动交互触发外,避免启动其它应用未处于运行进程。...其核心要求是应用进入后台短时间内(至多3分钟,并在屏幕关闭前)停止所有后台服务,且在除了收到广播和执行来自通知PendingIntent之外其它条件(如JobScheduler)触发后台行为期间不可以再启动后台服务

1.4K60

MIT 6.858 计算机系统安全讲义 2014 秋季(三)

在 Kerberos v5 中,票证请求者必须在请求中包含{ timestamp }_{K_c},证明对K_c了解。 密码恢复非常重要,经常被忽视。...运行在 Linux 内核+Android“平台”上(稍后会介绍)。 应用程序还有一个声明其权限清单(稍后)。 整个应用程序由开发者签名。 活动:可以在屏幕上绘制,获取用户输入等。...一次只有一个活动运行。 帮助用户推理输入安全性。 如果用户正在运行银行应用程序(活动),则没有其他活动获取用户输入。 意图:Android基本消息原语。...提供应用程序正在请求权限列表。 曾经,Android 允许用户设置细粒度权限选择。 Android 4.3 引入了“权限管理器”。...另一个原因:应用程序提前要求权限“以防万一”。 例如,可能以后需要它们,更改权限需要手动更新。 另一个原因:无法拒绝某些权限

14910
您找到你想要的搜索结果了吗?
是的
没有找到

Android端SpyNote恶意软件技术层面深度剖析

尽管对这些权限请求并不总是表示恶意行为,这些是间谍软件请求典型权限。 入口点 下一步就是要确定这个可疑间谍软件入口点,并找到SpyNote为此所使用方法。...一般来说,我们有下列几种方法来为应用程序创建入口点: 1、通过处理MAIN和LAUNCHER类型Intent启动器Activity; 2、后台运行服务; 3、广播接收器,当系统发送应用程序期望广播时被调用...它只发送必要intent,收到intent之后,恶意软件App便会启动权限 启动之后,SpyNote便会请求BIND_ACCESSILITY_SERVICE权限,一旦目标用户授予该权限,SpyNote...等: SpyNote首先会依次请求Manifest文件中定义所有权限,它不会等待目标用户授权这些权限,而是生成一个“点击”事件来复制用户“点击”行为,从而自行授予所有请求权限。...击键记录是SpyNote另一个核心功能,它会在自己日志文件中Base64字符串形式记录目标用户按下所有击键信息,其中包括用户数据和密码凭证等内容: 难以卸载 由于SpyNote是是隐藏用户无法

24610

TRTC Android端开发接入学习之实现视频通话(五)

在 AndroidManifest.xml 中配置 App 权限,SDK 需要以下权限(6.0以上 Android 系统需要动态申请相机、读取存储权限): <uses-permission android...7.接收方:当接收方处于已登录状态时,会收到名为 onInvited() 事件通知,回调中 callType 参数是发起方填写通话类型,您可以通过此参数启动相应界面,如果希望接收方在不处于登录状态时也能收到通话请求...sponsor 发过来通话请求,此处代码选择接听,您也可以调用 reject() 拒绝之。...11.接收端:通过名为 onInvited() 事件通知能够接收到此呼叫请求。...说明: 接口 groupCall() 中 groupID 参数是 IM SDK 中群组 ID,如果填写该参数,那么通话请求消息是通过群消息系统广播出去,这种消息广播方式比较简单可靠。

2.5K20

Azure通信服务(ACS)如何实现WebRTC?

客户端SDK –适用于Web,Android和iOS,可将端点连接到通信服务器,发送和接收来自PSTN和Microsoft Teams音频/视频/屏幕共享以及媒体。 ?...(客户端API)对身份呼叫支持比其他平台更强,这可能是因为基础结构被重用并且该功能提供了与Teams平台集成。...这些SDK将在受信任应用程序中运行,并且需要在Azure控制台中创建访问密钥。Microsoft通过支持主访问密钥和辅助访问密钥来支持访问密钥旋转而获得加分。 其他特性 其他一些高级功能: 1....PSTN呼叫:专用预览版不允许我们对此进行测试,但是根据文档(里面讲述),它支持11呼叫和组呼叫。 2. SMS –如上所述,我们无法对此进行测试,但是发送和聊天也是Azure通信产品一部分。...在文档或SDK中没有提及记录或广播功能,也没有与Azure流处理功能(如文本到语音或视觉API)进行任何集成。 发信号 信令基于HTTP请求

3.3K20

如何用HMS Nearby Service给自己App添加近距离数据传输功能

1. 业务流程   整体流程可以划分为4个阶段。   广播扫描阶段:广播启动广播,发现端启动扫描发现广播端。 广播端调用startBroadcasting()启动广播。...发现端调用startScan()启动扫描发现附近设备。 由onFound()方法通知扫描结果。   建立连接阶段:发现端发起连接并启动对称身份验证流程,双端独立接受或拒绝连接请求。...如果权限不足,近距离通信服务(Nearby Service)将会拒绝应用开启广播或者开启发现。...2.4.1 启动广播   广播选定policy和serviceId为参数,调用startBroadcasting()启动广播。其中serviceId应该唯一标识应用。...停止广播后,广播端不可以接收来自发现端连接请求。 2.4.4 停止扫描   当需要停止扫描时,调用stopScan()。停止扫描后,发现端仍可以向已发现设备请求连接。

62530

黑客视角揭秘WiFi钓鱼,零信任带来防护突破

使用 driftnet -i wlan0 命令运行 Driftnet 程序,会在弹出窗口中实时显示用户正在浏览网页中图片。 ?...在 iOS、Android、Windows、Mac OS X 等系统中其实已经包含了对 Captive Portal 检测, Android 系统为例,当设备连入无线网络时会尝试请求访问clients3...,第1行表示将来自 NAT 网络对 80 端口数据请求都指向 172.5.5.1 80 端口;第 2~3 行表示将来自 NAT 网络对 53 端口 TCP、UDP 请求都指向 172.5.5.1...,因此当用户设备主动或被动连接开放式网络时,零信任终端安全产品可结合正在连接热点MAC地址及其他无线特征进行WiFi接入点身份验证,验证失败时拒绝访问请求并警告用户遭到无线钓鱼攻击。...验证失败时拒绝访问请求并帮助用户修复异常DNS状态。

2.6K10

超三十万台设备感染银行木马、远程代码漏洞可攻击云主机|12月7日全球网络安全热点

在公司Abiom拒绝遵守勒索软件组织LockBit要求后,共有39,000份文件(包括身份证件和发票)在网上泄露。 安全专家Matthijs Koot表示,这次攻击代表了勒索软件运营商一种新策略。...Android银行恶意软件 BRATA Android远程访问木马(RAT)已在意大利被发现,攻击者呼叫短信攻击受害者窃取他们网上银行凭证。...攻击始于链接恶意网站未经请求短信(SMS),声称是来自银行消息,敦促收件人下载反垃圾邮件应用程序。最终受害者会下载BRATA恶意软件,或将他们带到网络钓鱼页面输入其银行帐号密码页面。...修改设备设置获得更多权限。 如果设备被密码或图案锁定,解锁设备。 显示钓鱼页面。 攻击者滥用这些权限访问受害者银行账户,检索二次验证密码,并最终执行欺诈交易。...安装后,这些银行木马程序可以使用一种称为自动转账系统(ATS)工具,在用户不知情情况下,秘密窃取用户密码和基于SMS双因素身份验证代码、击键、屏幕截图,甚至耗尽用户银行账户。

1.9K30

Android安全之应用层安全(五)

将应用分离为组件有助于应用一部分在应用之间重用。 活动活动用户界面的元素之一。 一般来说,一个活动通常代表一个界面。 服务。 服务是 Android后台工作装置。...服务可以无限期运行。 最知名服务示例是在后台播放音乐媒体播放器,即使用户离开已启动此服务活动广播接收器。 广播接收器是应用组件,它接收广播消息并根据所获得消息启动工作流。 内容供应器。...我们可以通过使用方法startActivity和startActivityForResult启动活动。 服务通过startService方法启动。...内容供应器由来自内容解析器请求调用。所有其他组件类型通过Intent(意图)激活。 意图是 Android 中基于Binder框架特殊通信手段。意图被传递给执行组件调用方法。...如果另一个应用想要使用TestActivity提供功能,它必须请求使用此权限,类似于第 16 行中操作。 ?

97520

Android手机App安全漏洞整理(小结)

Service具有和Activity一样级别,只是没有界面,是运行于后台服务。其他应用组件能够启动Service,并且当用户切换到另外应用场景,Service将持续在后台运行。...从表面上看service并不具备危害性,实际上service可以在后台执行一些敏感操作。 Service存在安全漏洞包括:权限提升,拒绝服务攻击。...没有声明任何权限应用即可在没有任何提示情况下启动该服务,完成该服务所作操作,对系统安全性产生极大影响。...2.4 Broadcast Receiver组件漏洞 Broadcast Receiver是“广播接收者”意思,就是用来接收来自系统和应用中广播。...dz runapp.provider.query [URI] –selection “1=1” 也可以使用其他恒为真的值,例如“1-1=0”,“0=0”等等。

2.3K30

Windows事件ID大全

0 操作成功完成。 1 函数不正确。 2 系统找不到指定文件。 3 系统找不到指定路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。...288 企图释放并非呼叫方所拥有的多用户终端运行程序。 298 发向信号灯请求过多。 299 仅完成部分 ReadProcessMemoty 或 WriteProcessMemory 请求。...1022 正在完成通知更改请求,而且信息没有返回到呼叫缓冲区中。当前呼叫方必须枚举文件来查找改动。 1051 停止控制被发送到其他正在运行服务所依赖服务。 1052 请求控件对此服务无效。...或RC4进行Kerberos预身份验证失败,因为该帐户是受保护用户成员 4825 ----- 用户拒绝访问远程桌面。...网络策略服务器授予用户访问权限 6273 ----- 网络策略服务器拒绝访问用户 6274 ----- 网络策略服务器放弃了对用户请求 6275 -----

17.4K62

浅入浅出 Android 安全:第五章 Android 应用层安全

将应用分离为组件有助于应用一部分在应用之间重用。 活动活动用户界面的元素之一。 一般来说,一个活动通常代表一个界面。 服务。 服务是 Android后台工作装置。 服务可以无限期运行。...最知名服务示例是在后台播放音乐媒体播放器,即使用户离开已启动此服务活动广播接收器。 广播接收器是应用组件,它接收广播消息并根据所获得消息启动工作流。 内容供应器。...我们可以通过使用方法startActivity和startActivityForResult启动活动。 服务通过startService方法启动。...内容供应器由来自内容解析器请求调用。所有其他组件类型通过Intent(意图)激活。 意图是 Android 中基于Binder框架特殊通信手段。意图被传递给执行组件调用方法。...如果另一个应用想要使用TestActivity提供功能,它必须请求使用此权限,类似于第 16 行中操作。

52830

安卓用户隐私被PhoneSpy入侵、Palo Alto安全设备现零日漏洞|全球网络安全热点

安全资讯报告 PhoneSpy恶意软件破坏Android隐私 周三,Zimperium zLabs发布了一份关于PhoneSpy新报告,PhoneSpy是一种间谍软件,旨在渗透在谷歌Android操作系统上运行手机...PhoneSpy目标是韩语用户,并会抛出一个网络钓鱼页面,假装来自流行服务——例如Kakao Talk消息应用程序——请求权限并窃取凭据。...zLabs认为,该活动已被用来收集“来自受害者大量个人和公司信息,包括私人通信和照片”。...恶意软件Netflix、Instagram和Twitter用户为目标 一种名为MasterFred新型Android恶意软件使用虚假登录覆盖来窃取Netflix、Instagram和Twitter用户信用卡信息...“通过利用默认安装在Android应用程序可访问性工具包,攻击者能够使用该应用程序实施Overlay攻击,欺骗用户输入信用卡信息,以防止Netflix和Twitter上虚假帐户泄露。”

68920

NDSS2019议题解读:通过恶意蓝牙外设打破安卓安全机制

复杂蓝牙协议在实现过程中,很容易出现一些设计缺陷,该议题提出了三种攻击场景,证明安卓上蓝牙设计缺陷以及潜在危害。...图 1 蓝牙主机与从机建立连接过程 主机(安卓手机)首先通过广播方式,扫描希望通信从机(蓝牙外设),蓝牙外设在上电之后,通常将广播其MAC地址等信息,另外,从机收到主机扫描请求后,会回应更详细设备信息...假设恶意应用程序在用户安卓手机后台运行,找到合适攻击时机后(如检测到屏幕关闭时),应用程序将发起与恶意蓝牙外设配对请求并通知恶意蓝牙外设修改正常配置文件为包含恶意配置文件,之后与蓝牙外设建立连接...AG可以传输电话状态并打开SCO连接将语音流传输到HF。HF可以发出若干命令,例如接收、拒绝来电以及终止当前呼叫等。在这种攻击场景中,恶意蓝牙外设声明HF角色,并等待来自电话连接。...针对本文所述攻击场景,笔者提出如下建议: 1 请设置解锁安卓手机时身份认证(如密码,指纹等),且在任何情况下保证解锁手机时开启身份认证(部分厂商安卓手机,提供智能解锁服务,允许用户在某些信任区域内

2.3K10

App安全测试—Android安全测试规范

安装包签名测试 用例风险: Android签名机制是一种有效身份标识,为了保证应用不被恶意修改后重新发布,需要检查应用签名是否有保护机制。...预期结果: 更换签名后,触发应用防御机制,应用无法启动或提示 整改建议: 内部代码实现apk二次打包鉴别机制,在程序运行时校验apk签名是否由官方私钥签名而来。...文件权限为:文件主-组用户-其他用户 预期结果: 目录权限为drwxrwx--x,允许多一个执行位x 文件权限最后三位应为空(类似-rw-rw----),即除应用自己以外任何人无法读写; 整改建议 避免使用...本地数据库注入/文件遍历检测 安全风险:获取或者篡改app中存储敏感信息,如手机号、账号、密码等,在业务运行操作时无法保证数据安全。...未指定接收组件造成信息泄露 安全风险 应用程序在广播包含敏感信息消息时,由于未指定具体接收组件,攻击者可能仿冒receiver来接受来自应用程序消息,从而窃取敏感信息。

4.1K42

用来批量制作“假脸”,iOS 面部识别数据正在被黑客窃取

连接成功后,会在本地主机 1081 端口上开启 SOCK5 服务器,此处使用是 MicroSocks。启动反向代理前,GoldPickaxe 会发出 HTTP 请求获取代理服务器配置。...在第一个登录页面输入用户名和电话号码后,引导受害者跳转到 Digital Pension 设置密码。攻击者也启动了密码校验,如果输入连续数字会被拒绝。成功后,进入设置页面请求启动辅助功能。...登录截图 启动时要求用户启用辅助功能权限,这样攻击者可以实现更多功能,例如按键记录、凭据捕获、绕过双因子认证等。启用辅助功能后,攻击者甚至可以自己给自己授予额外权限,只需要模拟用户点击即可。...分析人员认为 GoldDiggerPlus 主要目的是向 C&C 服务器验证自身身份、在请求权限时执行自动点击、记录屏幕并通过实时消息协议 (RTMP) 传输。...攻击者就可以主动出击,主动发起呼叫用户进行沟通。 虚假告警 GoldKefu 会显示“您银行帐户处于异常状态。保护模式已开启。您可以联系银行客服解冻账户”,使得受害者无法访问预期应用程序。

11510

Android 组件逻辑漏洞漫谈

设置为 false,这只是防止了用户主动发送数据,无法拦截通过 setResult 返回数据; 确保获取到 Intent 来自于可信应用,比如在组件上下文中调用 getCallingActivity...; 对于绑定服务而言,Android 系统会根据绑定客户端引用计数来自动销毁服务,如果服务实现了 onStartCommand() 回调,就必须显式地停止服务,因为系统会将其视为已启动状态。...信息泄露 上面主要是从限制广播发送方角度去设置权限其实这个权限也能限制广播接收方,只不过发送消息时候要进行额外指定,比如要想只让拥有上述权限接收方受到广播,则发送代码如下: Intent...看起来和常规 RPC 调用类似,这里有个小陷阱,开发者文档中也特别标注了:Android 系统并没有对 call 函数进行权限检查,因为系统不知道在 call 之中对数据进行了读还是写,因此也就无法根据...将该对象传递给其他应用后,其他应用就可以发送方身份去执行所指向 Intent 指定操作。

1.5K50

Android 11 正式版发布

应用下次被使用时需要再次请求权限。详细信息请访问 官方文档。 ? 后台位置 :如果想访问后台位置信息,现在需要用户在授予运行权限外进行更进一步操作。...如果您应用需要访问后台位置信息,系统会要求您必须先请求前台位置权限。您可以通过 单独权限申请 来进一步要求访问后台位置信息,系统会将用户带到设置页面 (Settings) 中完成授权操作。...权限自动重置 : 如果用户在很长一段时间里未使用某应用,Android 11 将 “自动重置” 所有与该应用关联运行权限并通知用户。在用户下次使用该应用时,应用可以再次请求权限。...我们正在与各政府机构和行业伙伴合作,确保 Android 11 为数字化身份认证体验做好准备。...数据访问审核: 数据访问审核可以让您更好地了解自己应用访问用户数据情况,以及访问来自用户流程。例如,它能帮您识别无意私有数据访问,不论其来自于您自己代码还是其他 SDK。

1.2K50

那些年Android黑科技③:干大事不择手段

我只是在跳愉快尬舞。 暗影是不会向邪恶势力低头。 万岁~(≧▽≦)/~!!” -- 来自暗世界android工程师 ? 1 前言 本篇是本系列最后一个篇章。其实这些活儿也不全是在干坏事用。...细节代码请参考Github https://github.com/CharonChui/UninstallFeedback 3 Home键监听 一般在开发中,我们无法直接在活动中收到用户点击Home返回这样操作回调...多数情况下,我们开发应用是需要感知用户离开状态。这里我们可以利用广播来做这件事情。 有这样一个动态广播来做监听。 ?...重点看下面这几行,顺藤摸瓜得知这个Intent来自来自别的app或系统发过来广播。...注册一下,description可以写一下你给用户描述。 ? 调用系统激活服务 ? 我们来看下运行效果。激活以前是可以被卸载。 ? 激活以后无法被卸载,连删除按钮都没有了。

68920
领券