展开

关键词

Vine用户漏洞

大家好,今天我要和大家分享的是,Twitter旗下免费移动应用Vine的用户漏洞一例,该漏洞由孟加拉国安全研究员 Prial Islam 发现,漏洞原因在于不安全的直接对象引用(IDOR),攻击者可利用该漏洞获取任何 Vine的IP地址、手机号码和注册邮箱等个人敏感。 ,你会发现,其中包含了大量个人注册(都已作了藏),如下:“platforms”: “flaggedCount”: 7579 “twitterId”: “█████████” “phoneNumber 29:40.000000” “ipAddress”: “█████”漏洞影响攻击者只需利用IP地址、邮箱地址和手机号码就能大作文章,当然了,也能发起对Vine用户的大肆个人收集活动,Vine用户的个人安全面临威胁 更多,请参考原漏洞报告 - https:hackerone.comreports202823

23730

腾讯发布网络报告:电话诈骗竟然有那么多花样

安全及网络欺诈行为分析报告》(以下简称《报告》)显示,移动网络主要有手机软件获取、免费Wi-Fi窃取、旧手机设备,以及黑客盗取企业大数据等渠道。 往往是在用户不知情的情况下发生的,用户没有被告知,更没有同意。?这个报告主要针对手机软件获取情况。 另外测评还发现,对权限管理相对完善的iOS系统,同样也存在问题。 目前我国人企业回收的二手电子设备多数都会分门别类的流向二三线城市经济欠发达地区,以及环保回收拆解机构,由于该行业缺乏第三方机构的监管,这些电子产品,特别是手机、电脑等均存在个人患。 《报告》指出,作为产生的源头,用户需要加强安全防范意识,杜绝一切数据被的可能。

31350
  • 广告
    关闭

    50+款云产品免费体验

    提供包括云服务器,云数据库在内的50+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    不是开发者也要知道,揭秘SDK采集5大数据的方式

    如果一旦开发者需要采集这些数据,必须给出数据披,否则可能会被应用商店做下架处理跨越Android系统接口作弊的采集方式面对目前应用商店严格的规则,个别第三方SDK也会通过别的方式采集用户数据,例如 这种作弊的相关代码也分享给开发者,开发者可根据代码中的判断SDK是否通过跨越Android系统接口的方式采集数据。 完全用户数据,侵犯用户保护建议:提前做数据披,需要获得用户许可。2、账号类(风险程度:高)SDK采集数据指标:获取用户账号。 用途与风险:通过采集这类可以获取用户账户列表,将移动设备与用户账号关联,对设备进行唯一标示。这种数据的采集会给用户带来极高的风险,若用户账号被、克隆,用户的利益和生命财产可能受到威胁。 这些的采集完全侵犯了用户,支付、登录验证等更多用户身份,使用户赤裸裸的“公布于众”,毫无安全可言。保护建议:提前做数据披,需要获得用户许可。

    75750

    虚拟键盘 AI.type 3100 万用户,你还敢用第三方输入法吗?

    但如果这些虚拟键盘会你的数据……最近,据外媒报道,第三方键盘应用 AI.type 因储存的服务器未加密保护而了超过 3100 万用户的个人数据。 除此之外,AI.type 分为付费版本与免费版本,而根据其政策,其免费版本收集的用户更为详细,包括设备的 MSI 和 IMEI,型号,屏幕分辨率和 Android 版本,甚至还有手机号码、服务商 安卓用户再次沦陷稍显奇怪的是,研究人员发现 AI.type 数据库中似乎只出现了 Android 用户的个人,也就是说 iOS 用户未被。 移动安全爱好者无名侠告诉雷锋网,这与 iOS 系统本身防御无关,主要由于 App store 政策禁止一切应用收集用户的个人(如电子邮件、序列号等),即 Ai.type 可能并没有收集 iOS 用户的数据,所以不存在 iOS用户

    26660

    ctfhub--Git

    这就引起了git漏洞。

    77020

    敏感 会暴服务器的敏感,使攻击者能够通过进行对网站的进一步入侵 软件敏感 操作系统版本 可以通过NAMP等扫描得知 中间件的类型以及版本 http返回头判断 phpinfo(): http:test.php 和 http:phpinfo.php 测试页面在外网: test.cgi phpinfo.php info.php 等 编辑器备份文件在外网 : http:.test.php.swp http:test.php.bak http:test.jsp.old http:cgi 以及其它的常见的编辑备份后缀 版本管理工具文件 http:.gitconfig http:manager.php http:admin_login.php 邮箱、号码等 生成爆破字典 错误页面暴 mysql错误、php错误、暴CMS版本类型等 探针文件 robots.txt phpMyAdmin 源码备份文件 其它~~~~ 网络DNS域传送漏洞运维监控系统弱口令、网络拓扑等敏感搜集工具github.comring04hweakfilescangithub.comlijiejiebbscanwhatweb

    22520

    软件安全性测试(连载24)

    •不安全的通。•不安全的身份验证。•加密不足。•不安全的授权。•客户端代码质量。•代码篡改。•逆向工程。•无关的功能。这里介绍一下“逆向工程-反编译测试”“键盘劫持”和“”。 3.2键盘劫持键盘劫持是程序记录下每一个按键的键入顺序从而获取用户的手段,下面代码利用android键盘钩子达到按键劫持的目的。 3.3造成可能由以下原因造成。•手机中了木马。•使用了黑客的钓鱼WiFi,或者是自己的WiFi被别人蹭网。•由于弱密码,撞库或服务商漏洞等各种方式使得手机服务账号被盗。 •拥有权限的APP厂商服务器被黑客拖库。•通过伪基站短等途径访问了钓鱼网站,导致重要的账号密码。•使用了恶意充电宝等黑客攻击设备。•GSM制式网络被黑客监听短。•通过NFC卡。 图4-55 iPhone中的重要地点苹果公司一直不承认这个功能暴了用户的,如果你不愿意让别人获取到你去过的地方的,请关闭这个功能。3.

    20520

    SDK安全之道:如何识别第三方SDK留下的“暗门”

    尤其在国内,大多开发者都没有做任何数据披,在用户不知情的情况下采集,实际上这种情况在一定程度上是侵犯了用户的权限。 2、iOS和Android比较问:很多人都有这样的认定,说iOS对于用户的控制比Android好,那事实上到底是什么样呢? 答:如我之前问题的回答,涉及到用户的数据采集,如果没有做数据使用的声明就会被认为是触犯了用户,审核就一定不会通过。例如:用户蓝牙、传感器、账户、位置等。 7、国内应用商店规范问:国内应用商店没有国外的审核严格,作为用户来说,怎么才能保护自己的数据不被? 有些用户可以在运营商帮助下去分析流量产生的来源,也就是哪些App在大量的从你的手机上传输数据,但却无法判断是哪些数据被,所以国内Android用户保护自己的数据的权利也非常困难。

    2K50

    安全快讯合集

    这下好了,家里的智能灯泡都会数据了https:wp.mepa8FRg-852. 火绒安全警报:病毒伪装成激活工具 强制安装360、2345浏览器https:wp.mepa8FRg-8g3. 3亿用户 顺丰回应:暗网所售非顺丰数据https:wp.mepa8FRg-8s4 青岛两护士卖上万条产妇个人:2元一条,流向早教等商家https:wp.mepa8FRg-8w5. Android API breaking漏洞曝光:可设备相关数据https:wp.mepa8FRg-8y6. Five Eyes 情报联盟声称“不是绝对的”https:wp.mepa8FRg-92每日5分钟安全快讯(201895)1. 日本准备测试太空电梯技术https:wp.mepa8FRg-962.

    17310

    2014上半年国内安卓银行应用和安全患研究报告

    报告摘要:每10个安卓银行应用中有6个具有中度到高度风险从个人用户而言,是用户最关心的。 风险评估矩阵研究人员定义了5个危险行为类型:数据漏、短活动、文件操作、监视和网络活动。 :排名最前和垫底的银行根据应用中数据行为点的多少和严重性程度以及安全认证分数,我们评出了2014年上半年度最少和最严重的银行应用,标注为“最靠前和垫底的银行排名”。 的多少不能直接代表银行应用安全性的开发水平。 2013年9月,乌云漏洞报告平台曾公开了民生银行安卓应用的漏洞,称该漏洞可导致民生银行Android客户端敏感。?

    409100

    一周移动安全热闻:无须开启GPS 照样定位你在哪儿

    #一周热闻之Google Play严打收集用户的行为Google已经无法忍受其应用商店Google Play中的应用对用户不加询问的擅自收集行为,决定展开严厉的打击。 用户一旦安装,设备将不停下载安装恶意扣费和系统破坏类应用,造成设备卡顿、话费资损、个人漏,用户设备将完全沦陷,成为黑产提款机。国内多家应用商店仍能下载到此恶意应用。? 、搜索记录等,再将转卖,用作所谓的“精准营销”。 据统计,大约4万个站点存在类似的情况,涉及数百万网民的数据。?用户途径示意#此类移动安全的保护工作需要全产业链联动。 #一周热闻之身边的间谍工具:人工智能玩具近年流行起来的人工智能玩具,正因其低劣的安全性,成为儿童,甚至周安渠道。

    35590

    CIO如何才能保障移动安全

    三、 Struts2漏洞 这个WLAN系统漏洞相是2013年的一大亮点,某连锁酒店超过2000万用户就是源于这个罪魁祸首。 移动办公不安全 而另一项数据更是可以直接刺激企业化主管们的神经,2013年全年手机病毒样本增长80余万,相比前年增长10多倍,在众多的手机病毒中,窃取(privacy)类以22.4%的比例仅次于恶意扣费 一、 Backdoor.AndroidOS.Obad.a 这是2013年Android设备中最复杂的病毒,通过垃圾短操纵用户设备,包括截获电话号码、运营商、IMEI编号、通话记录、本地MAC地址等 二、 通讯录病毒 Android设备的通讯录太过繁杂,RoBot通讯录病毒借机伪装成通讯录,一旦导入,所有会直接发送至黑客指定地址,企业客户会直接。 利用 Android 系统的漏洞“身”潜入手机,用户一旦中毒,将被捆绑恶意广告推送,并

    41970

    中国BAT巨头Web浏览器和安全问题

    根据“棱镜门”事件中爱德华·斯诺登的文件显示,西方情报机构早在2012年就已经成功识别UC浏览器中的漏洞,随后成功地利用漏洞设计了一个XKeyscore插件以窃取应用程序的用户数据,实施监控 浏览器(操作系统)用户个人地址浏览行为百度浏览器 (W)✓✓百度浏览器 (A)✓✓✓QQ浏览器(W)✓✓QQ浏览器(A)✓✓✓UC浏览器(W)✓✓UC浏览器(A)✓✓表2:每个中文最新版浏览器是否存在用户数据 3.2 QQ浏览器分析QQ浏览器(W)9.2.5478版本敏感数据的情况总结如下表5所示:数据数据类型加密措施设备硬件编号用户个人未加密机器主机名称用户个人易破解网关MAC地址用户个人易破解硬盘序列号用户个人易破解 3.3 UC浏览器分析UC浏览器(W)5.5.10106.5中文版情况总结如下表7所示: 数据数据类型加密措施硬盘序列码用户个人易破解基板序列码用户个人易破解文件系统卷标序列码用户个人易破解完整的 UC浏览器(A)10.9.0.703版本情况总结如下表8所示:数据数据类型加密措施国际移动设备标识(IMEI)用户个人易破解国际移动用户识别码(IMSI)用户个人易破解搜索字词浏览行为未加密完整的

    57580

    为什么我3岁的儿子有不良用记录?儿童数据问题暗潮汹涌

    01 数据新趋势——儿童贩卖谈到数据,我们本能就会联想到这些事情发生在成年人身上。从客户、消费者、员工到管理人员,似乎这只与成年人有关。不幸的是,事实并非如此。 ,市面上起码有过半Android 应用,涉嫌违反了《儿童在线保护法案》(COPPA)。 人们在里面购买、销售和盗取来的。网络犯罪分子甚至为此建立了电子商务平台,他们以此为生。 2015年11月,玩具制造商vTech宣布它的数据影响了全球20万名儿童。几天后,它新发布的报告称实际上有超过630万名儿童的。 一旦政府、制造商或科技公司开始收集儿童数据,儿童就要开始像成年人一样面临数据的风险和后果。而我们在儿童在线保护这一问题上,相关的保护基本处于空白状态。

    20730

    你的正在被

    之前跟朋友谈天说地,聊到了国内关于用户的问题,这是一个很深沉的话题,深到我都不敢开口,万一我说的话被漏了呢? 朋友让我看了 2018 年 4 月 12 日的暴走大事件,讲的就是关于用户漏的问题。 反观国内,某度 CEO 公开发言,国人对问题没那么敏感,在个人方面更加开放,一定程度上是愿意拿来换取方便和效率的。我他么就笑了,我愿不愿意你心里还没有点 B 数吗? 国内对于用户的问题真的差到极致,前段时间关于中国电 App 需要获取用户 70 多项权限的新闻想必有所耳闻,APP 弹窗提示:应用程序将访问传输手机号码、IMSI、IMEI、MEID、手机型号等设备 点击同意后,该应用又提出四项用户授权,分别是:存储、电话、通讯录和位置

    87090

    Google 到底是不是在抄袭?

    自从 Android Issue Tracker Android 9.0 的新消和新特性,没一个,就会引起国内用户的讨论。 昨天浏览科技新闻的时候,看到一条消:谷歌官方的 Android Issue Tracker Android P(安卓 9.0) 的两个新特性,分别是支持全局黑夜模式和具备 Always-on 如果你下载了它的 beta7.21 版本,你会在账户和选项下,发现一个写着 “编辑和分享截图” 的选项,选择这个,你会看到一个面板从页面底部弹出,这样,你任何时候都可以在谷歌应用里截屏。 另外,还加入了禁止后台 APP 自调用麦克风、相机等权限干涉,并对刘海屏优化加入了原生通话录音功能等。对敏感的用户来说是个福音,可有效防止被监听。 最后,其实 Google 在解决 Android 系统碎片化的问题上一直在努力,从 Android 5.0 开始一直都有较大的变化,而且也越来越重视系统的安全性和设置。

    47070

    个人征忙备战,需警惕

    专家提醒,要警惕放开个人征系统带来的个人风险,“普通的互联网数据具有不可识别性,而征涉及的数据和普通互联网数据是不同的,可能会侵害到个人。征机构需要加强风控体系建设。” 这意味着,有了芝麻用这样的个人用体系,越来越多的人在和他人社交、交易前通过查看芝麻分来了解对方的基本。? 事实上,最近几个月,不仅是芝麻用这一家民间个人征机构在行动。   “目前个人征系统处在初级发展阶段,过去以央行为主的银行机构内部的,很明显是远远不能满足日常生活所需的,现在,需要倡导由市场主导的个人征业务的发展。”财经评论员刘艳表示。   在该款产品上,个人用被分解为身份认证、背景特质、消费水平、生活用、日常行为五大模块,每一个模块有独立的评价并最终形成一个总的分数。获得用户授权后,房东可以在APP上查询用户的。 中国政法大学副教授朱巍则提醒,要警惕放开个人征系统带来的个人风险,“普通的互联网数据具有不可识别性,而征涉及的数据和普通互联网数据是不同的,可能会侵害到个人

    494120

    Google+安全漏洞引欧洲关注 德国爱尔兰介入调查

    德国汉堡的数据保护专员约翰内斯·卡斯帕(Johannes Caspar)宣布,该机构已经开始调查此事,这个漏洞可能导致多达50万用户的个人数据被。卡斯帕是欧洲最直言不讳的保护官员之一。 但他表示,目前对此案还没有任何见解,也没有从谷歌得到任何。爱尔兰管理局表示,它将从谷歌获取有关这些问题的。将来,该机构可能成为这家科技巨头在欧洲的主要监管者。 在欧洲,谷歌也面临着保护和竞争监管机构的审查。欧盟7月对谷歌处以43亿欧元(约合49亿美元)的创纪录反垄断罚款,并命令其改变在Android移动设备上安装搜索和浏览器应用的方式。 在谷歌丑闻爆发之前,社交媒体巨头Facebook在过去一年内发生了多起数据事件。本月,Facebook成为欧盟加强保护规定的首个重大测试案例,这可能导致该公司被处相当于其每年销售额4%的罚款。 当地时间周二,欧盟28个监管机构的联合组织表示,它尚未接到有关这一数据的正式通知,但它似乎确实比新法案生效更早发生。

    15120

    Facebook摊上事,2.67亿用户数据被

    在12月14日的时候,安全研究员Bob Diachenko就发现了这些数据库未受到密码或任何其他保护措施的保护,Facebook发现之后及时关闭访问通道,但这些已经被公开了将近两周时间,期间有不少黑客下载了这批的数据并公布在黑客论坛上 安全研究人员指出,用户可以更改设置,让Facebook之外的搜索引擎无法链接到他们的个人资料,或者直接停用或删除他们的Facebook帐户。 这也不是Facebook今年第一次面临数据了,上个月,Facebook和Twitter用户的人数据还受到恶意的第三方Android应用程序的危害。 在本月早些时候,有研究人员发现数千名Facebook小组成员的人数据已遭到。 面对如此频繁的数据问题,旧金山的法官呼吁用户可以对Facebook发起群体诉讼,而且政府有关部门有必要对Facebook进行长期监督。

    16210

    远程扫描iPhone相册?苹果的好心网友不领情

    安全专家:我要转投Android了想通过技术来保护儿童的苹果,结果却让舆论一片哗然:“苹果,你变了!”多年来,苹果顶住了美国政府要求在iPhone中安装“后门”的压力,表示这样做会破坏用户的安全。 不过也有一些专家对苹果表示赞赏,以色列密码学家Benny Pinkas说:我相苹果的系统在和实用性之间提供了极好的平衡,并且将非常有助于识别儿童色情内容,同时保持高度的用户并将误报降至最低。 网友:发生事件怎么办?目前,这个功能只在美国使用。其中带有这项功能的iOS 15预计会在下个月推出。不久后也会陆续引入其他国家,这也让我国的用户们感到了担忧。 要知道,相册往往是存有一个人最多的地方,现在苹果说看就看,这算侵犯吗?用户们也更关心,如果数据发生……那就可怕了。?同样会监测用户上传内容的网盘,此前也发生过不止一次的事件。? 从用户的个人照片、证件到机密的商业资料,2017年发生的严重数据事件曾让大众感到非常恐慌。而苹果现在的计划,和网盘非常类似。这也让人们对其是否能保护好用户,打上了一个大大的问号。

    10020

    扫码关注云+社区

    领取腾讯云代金券