name=TideSec 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本篇为tales移动安全专题第三篇。 1、移动应用安全基础篇——Android、ios环境准备 https://www.freebuf.com/column/199666.html 2、移动应用安全基础篇——绕过iOS越狱检测 https 今天主要介绍一下iOS的一些逆向基础知识,教大家碰到加密数据的APP后该如何去解密。 今天主要是针对两款有不同加密方式的iOS应用,难度由低到高。 可以直观的看到加密请求数据和解密返回数据为明文。 使用objection ios hooking watch method “+[RSA encryptString:privateKey:]” –dump-args ios hooking watch
从测试工程师的工作实践出发,介绍移动端性能测试的通用方法和结合产品特点的不同侧重。 随着流量费用的降低,越来越多的人开始在公交地铁等移动场景使用视频应用。 视频类的应用会更多关注播放流畅度、下载等性能指标,下面介绍的是百度视频的性能测试方法 视频app是第三方视频资源聚合类产品,主要提供用户在线播放、离线下载各种视频服务,提供PC、Android、iOS三端入口 因为Android平台底层是由linux系统改良而来,不同维度的指标绝大部分都可以通过命令来取不同的指标(具体方法可以参加后面工具) 在iOS平台上,性能的获取,必须使用Xcode里面instruments 下的相应组件,不像开源的Android那样灵活,但技术上是可以做到各平台的性能指标获取测试。 自动化测试工具,旨在提供一套完整的iOS自动化测试解决方案,提供针对iOS App的功能和性能测试,同时提供类似Android adb、重签名、instruments结果解析、录制回放等工具集。
上次转载了一篇《将你的网站打造成一个iOS Web App》,但偶然发现这篇文章的内容有些是错误的——准确来说也不是错误,只是不适合自半年前来的情况了(也可以说是iOS7 之后的时间)——话说现在的的移动设备真是日新月异 好了,结合Jeff 查阅的资料,下面来详细来说说iOS / Android 移动设备中的 touch icons。 关于 “Touch icons” favicons 知道是什么吧? 而Touch icons 则是移动互联网的产物,用于手机、平板等移动设备上。 rel="icon" sizes="196x196" href="apple-touch-icon.png"> 上面这个是则有点不同,rel="icon",可喜的是,Chrome v31+ for Android 考虑到最大的兼容性,Chrome for Android 做了一定的牺牲,那就是,如果再你的网页上找不到上面的代码,就会向下兼容,跟随者苹果的设备支持的touch icons(类似一开头的代码)。
Android加密算法有多种多样,常见的有MD5、RSA、AES、3DES四种。 MD5加密: MD5是不可逆的加密算法,也就是无法解密,主要用于客户端的用户密码加密。 android:gravity="right" android:text="加密字符串:" android:textColor="#000000" android:textSize="16sp" /> ="wrap_content" android:layout_weight="3" android:hint="请输入要加密的字符串" android:text="" android:textColor wrap_content" android:layout_weight="1" android:gravity="center" android:text="MD5加密" android:textColor ="1" android:gravity="center" android:text="AES加密" android:textColor="#000000" android:textSize="14sp
如果您有耐心看完这篇文章,您将懂得如何着手进行app的分析、追踪、注入等实用的破解技术,另外,通过“入侵”,将帮助您理解如何规避常见的安全漏洞,文章大纲: 简单介绍ios二进制文件结构与入侵的原理 介绍入侵常用的工具和方法 ,包括pc端和手机端 讲解黑客技术中的静态分析和动态分析法 通过一个简单的实例,来介绍如何综合运用砸壳、寻找注入点、lldb远程调试、追踪、反汇编技术来进行黑客实战 讲解越狱破解补丁和不需越狱的破解补丁制作方法和差别 iOS的tweak大致分为两种: 第一种是在cydia上发布的,需要越狱才能安装,大部分是deb格式的安装包,iOS在越狱后,会默认安装一个名叫mobilesubstrate的动态库,它的作用是提供一个系统级的入侵管道 ,他就是iOS的注入原理,类似于windows的钩子,所以我们注入也称为hook ? xcode insert_dylib pp助手 寻找注入点 砸壳 首先我们要做的就是把微信的壳砸掉,砸壳其实是为了把它的头文件classdump出来,因为从appstore下载的app二进制都是经过加密的
那么如何实现车牌识别的呢,下面简单说说: 首先对现存的车牌识别算法进行了研究,在诸多算法中寻找到一种适合在Android、iOS平台上运行的算法。 下面简单介绍移动端车牌识别技术应用领域: 停车管理系统会用到移动端车牌识别,停车管理系统需要做到的是对车辆的管理,特别像占道停车,总没可能安装一个一体机在路边上,然后一个车位安装一个,这会非常耗费成本。 移动端车牌识别在占道停车能被非常好地用上,移动端车牌识别会让他们的工作更加的方便,用前端扫一扫车牌就能计费了。 移动警务、移动执法中也会用到移动端车牌识别技术,比如巡逻执勤,交警执法等,因为警务执法人员会每天接触到大量的信息,他们的信息录入需要非常快速的准确的录入下来,所以,在警务通中集成移动端车牌识别sdk,在信息录入效率方面 车辆保险、现场勘察方面也会用到移动端车牌识别,比如车险移动查勘,他们会将移动端车牌识别与移动端证件识别技术结合起来,如果车辆没有车牌,也可以将车架号识别集成进来,他们在前期也是减少保险服务人员的工作量,
input.setSelectionRange(0, input.value.length); document.execCommand('Copy'); document.body.removeChild(input); } 移动端禁止键盘弹出 在 iOS 中 input 聚焦的时候会弹起键盘,对于复制操作交互体验很差,可以用以下方式禁止键盘的弹起。
Scrounger是一个模块化的移动应用程序渗透测试框架工具。它将Android和iOS这两个主流的移动操作系统同时整合到了一个框架中,极大的方便和满足了我们日常任务的需求。 此外,Scrounger同时包含了Android和iOS模块。因此,在移动应用评估期间你不需要使用多款工具,而只需使用这一款工具学习一组命令就可以完成任务。 Scrounger中已经捆绑了几个模块,你可以运行这些模块来对移动应用程序执行多项检查。 ? 运行条件 在主机和某些iOS二进制文件需要安装某些软件包。 以下是控制台列出iOS可用模块的示例。 ? 除了列出模块外,还将显示模块功能的简要说明。对于iOS和Android,有两种主要类型的模块,misc和analysis。 设备示例 有几个模块将需要与IOS或Android设备进行交互。在命令行或控制台中添加设备也非常的简单。 ?
今天跟大家分享一下如何在手机(Android&IOS)上不刷机、免root安装nmap、sqlmap、msf等工具,将手机改造成移动渗透利器。 Android 篇 0x01 安装Termux Termux是一款开源且不需要root,运行在Android终端上极其强大的linux模拟器,支持apt管理软件包,完美支持python,ruby,go, ) 音量+键+D 方向键 右(可右移动光标) 音量+键+Q 显示或关闭扩展键(ESC、插入链接CTR、ALT、TAB、 IOS 篇 0x01 安装iSH iSH是一个使用usermode x86模拟器将Linux shell引入IOS设备的工具,基于Alpine Linux,该程序占用空间小,具备一定的安全性且易于上手 TestFlight运行环境要求:iOS 8 或更高版本的 iPhone、iPad 或 iPod touch。 ?
WhatsApp正在iOS和Android上推出端到端加密聊天备份功能,以防止除用户外的其他人访问备份的聊天内容。 根据目前的机制,WhatsApp会根据用户所在系统平台,将聊天记录信息备份到相应的云存储服务上,如ios用户存储在iCloud上,Android用户存储在Google Drive上。 虽然WhatsApp上的聊天是端到端加密 (e2ee),但存储在云服务上的备份并没有采用这项技术,理论上可以被任何有权访问用户手机的人获取,并执行中间人(MiTM)攻击,或通过SIM交换攻击接管号码。 这时应用可能会提示将设备连接到电源 一旦启用端到端加密备份,将无法在不知道密码的情况下恢复任何聊天备份。当然,该功能也能通过返回端到端加密备份设置将其关闭。 端到端加密的优势在哪里? 参考来源:https://www.bleepingcomputer.com/news/security/whatsapp-rolls-out-ios-android-end-to-end-encrypted-chat-backups
TensorFlow对Android、iOS、树莓派都提供移动端支持。 移动端应用原理。 移动端、嵌入式设备应用深度学习方式,一模型运行在云端服务器,向服务器发送请求,接收服务器响应;二在本地运行模型,PC训练模型,放到移动端预测。向服务端请求数据可行性差,移动端资源稀缺。 PC训练浮点数模型,转8位,移动端用8位模型预测。 量化示例。GoogleNet模型转8位模型例子。 编译生成静态库,tensorflow/contrib/makefile/gen/lib:ios_ARM64、ios_ARMV7、ios_ARMV7S、ios_I386、ios_X86_64、libtensorflow-core.a 参考资料: 《TensorFlow技术解析与实战》 欢迎推荐上海机器学习工作机会,我的微信:qingxingfengzi
我写过一篇文章,介绍了 SitePoint 用到的编程语言,其中提到了移动端的支持,所以我觉得需要研究一下可能性。 我很高兴 Android 是支持 Go 语言的,这一方面应该是二者都是 Google 的技术,另一方面恐怕也与开发者希望用 Go 替换 Java 的愿望有关。 接下来需要安装 GoMobile 工具,用于编译和运行 Android 和 iOS 的应用: go get golang.org/x/mobile/cmd/gomobile gomobile /x/mobile/example/basic 部署到设备 跟 Android 不一样,对于 iOS 来说没有一个统一的部署命令,你需要用你熟知的方式把包拷贝到设备或者模拟器上,例如使用 ios-deploy 如果你没在用 Go,那么就不太值的现在就在开发 native 的移动应用时考虑 Go。不过我有很强烈的预感,在不久的将来,Go 会成为这方面很有潜力的选择的。最后欢迎你的建议和意见。
引言 如今手机app五彩缤纷,确保手机用户的数据安全是开发人员必须掌握的技巧,下面通过实例介绍DES在android、ios、java平台的使用方法; DES加密是目前最常用的对称加密方式,性能优于非对称加密 ); System.out.println( "----解密后-----:" + Des3Util.decode( encodeStr)); } } Android版: packagecom.inn.test importjavax.crypto.spec.DESedeKeySpec; importjavax.crypto.spec.IvParameterSpec; importandroid.util.Base64; /** * Android 自带DES加密 Begin 改动了此处 //data = [self DESEncrypt:data WithKey:key]; //IOS 自带DES加密 End return [self base64EncodedStringFrom 自带DES解密 Begin 改动了此处 //data = [self DESDecrypt:data WithKey:key]; //IOS 自带DES加密 End return [[NSString
工作中Android能做的和不能做的: 上周添加新的安全与管理能力技术来到市场,这份技术还包括Android应用商店里的应用软件做企业部署的能力。 相比之下,自2010年以来iOS设备已经默认加密(没有禁用选项),黑莓设备已经加密了至少十年并且需要加密芯片,以避免影响性能。 但是Windows 8.1手机设备在默认加密禁用的情况下,管理员必须启动它才可以应用。(Windows 8.1是微软的移动平台的第一个支持设备加密的版本。) 黑莓是移动设备管理(MDM)的鼻祖,2010年iOS效仿黑莓添加了这些功能。几年后Android也开始跟进,在2014年秋季Windows 8.1也为移动操作系统提供了一套强大的设备管理接口。 随着黑莓手机市场迅速衰落,黑莓也寻找如何才能重整旗鼓重振雄风——将BES变成一个统一的移动管理工具,不仅仅是在黑莓的企业服务(BES)上应用,也能为iOS、Android、Windows 8手机设备提供管理
经过了忙碌的一周终于有时间静下来写点东西了,我们继续介绍android apk防止反编译技术的另一种方法。 前两篇我们讲了加壳技术和运行时修改字节码,如果有不明白的可以查看我的博客的前两篇中关于这两种技术的介绍。接下来我们将介绍另一种简单适用的防止apk反编译的技术-伪加密。 一、伪加密技术原理我们知道android apk本质上是zip格式的压缩包,我们将android应用程序的后缀.apk改为.zip就可以用解压软件轻松的将android应用程序解压缩。 根据上面的讲述相信大家对apk的伪加密技术有了一定的了解,不过这种方法对于android 4.2.x版本及以后系统已经不适用了它会拒绝这种加密apk的安装。 下一篇我们将讲解另一种android apk防止反编译技术,期待大家的捧场。
在本文中,我们将根据今年前六个月获得的统计数据对移动安全形势进行分析,以评估移动安全报告的新趋势。 Android安全 截至今年6月,已发布了Android的86个安全漏洞。 另一个发现是,在Win32,MSIL和VBA之后,Android成为第四个拥有最新恶意软件变种的架构。 在2018年最大增长的恶意代码类型之一是加密货币挖矿。 尽管如此,加密货币仍然受到攻击者的青睐。 与此同时,Android银行恶意软件也成为重灾区。自成立以来,移动间谍软件的新变种,特别是盗窃金融数据的木马的数量不断增加。 Android勒索软件再次显示出其复杂性的进步。我们发现了Android / Filecoder.C:一种使用对称和非对称加密的变体,并通过SMS传播到联系人列表。 尽管移动系统的设计具有安全性,有时比传统技术更安全,但我们不能忘记风险仍然是存在的。我们必须始终牢记,没有任何系统是无懈可击的,教育和预防是安全使用移动技术必不可缺的。
作者 | Aditya Kulkarni 译者 | 刘雅梦 策划 | 丁晓昀 最近,Spotify 移动工程团队详细介绍了他们最近的平台迁移经验。 根据移动工程战略计划,该团队将他们的 Android 和 iOS 代码库迁移到了谷歌的开源构建系统 Bazel 上。 来自 Spotify 移动工程团队的 Mariana Ardoino 和 Raul Herbster 在一篇博客文章中探讨了从迁移中获得的经验教训。 另一方面,Puppet 的首席技术官 Nigel Kersten 强调了敏捷(Agile)/DevOps 转型背景下的协作,他说: 从根本上讲,问题在于所有这些转变都包含了大量的人际互动成分,而你作为一个组织 Spotify 移动工程团队提到,对于参与迁移的任何平台团队来说,相互竞争的优先级都是“现实”。无论迁移是否涉及采用新技术还是减少技术债,团队的动机水平都可能因迁移进展缓慢而受到影响。
Apple 设计的 iOS 平台以安全性为核心。iOS 的设计中建立了一个全新的安全保护机制。苹果开发并整合了一系列有助于增强移动环境安全性的创新功能,可在默认情况下为整个系统提供保护。 这一切使得 iOS 在移动设备安全领域迈出了更深远的一步。 软件、硬件和服务在每台 iOS 设备上紧密联系、共同工作,旨在为用户提供最高的安全性和透明的体验。 苹果白皮书详细介绍了安全性技术和功能如何在 iOS 平台中得以实现。在本文的帮助下,各个公司能够将 iOS 平台安全性技术和功能与自身的政策和规程结合在一起,从而满足公司的特定安全性需求。 • 互联网服务:Apple 基于网络技术架构提供信息通信、同步和备份。 • 设备控制:允许对 iOS 设备进行管理、防止未经授权的使用以及在设备丢失或被盗时启用远程擦除的方法。 酷派是国内厂商里较早提出安全加密手机概念的厂商,酷派双系统最初是通过在Android层进行深度定制系统形成逻辑的用户操作空间。
在Android上,由于 SDK 提供的支持尚可,而且使用 NDK 开发不便,自然选择系统 API 接口进行开发,提供加密接口、数据迁移、日志重定向和各种跟踪设置等功能。 WCDB是一个高效、完整、易用的移动数据库框架,基于 SQLCipher,支持 iOS、macOS 和 Android。 长久以来SQLite DB都有损坏问题,从Android、iOS等移动系统,到Windows、Linux 等桌面系统都会出现。 [有源码]》 《Android版微信安装包“减肥”实战记录》 《iOS版微信安装包“减肥”实战记录》 《移动端IM实践:iOS版微信界面卡顿监测方案》 《微信“红包照片”背后的技术难题》 《移动端IM实践 :iOS版微信小视频功能技术方案实录》 《移动端IM实践:Android版微信如何大幅提升交互性能(一)》 《移动端IM实践:Android版微信如何大幅提升交互性能(二)》 《移动端IM实践:实现Android
移动系统平台威胁(iOS,安卓)无线网络攻击(窃听通信内容、假冒基站、域名欺诈、网络钓鱼)恶意代码(流氓行为、资源消耗、恶意扣除、隐私盗窃、远程控制、欺骗欺诈、系统损坏、恶意传输)移动应用代码逆向工程( Android系统安全与保护机制。Android系统组成概述。Linux内核层、系统运行时层(库和安卓运行时)、应用框架层和应用程序层,安卓系统安全机制。 (SSL/TSL)内核安全机制(分区,LinuxACL)Iii.iOS系统安全和保护机制。 数据加密和保护机制。地址空间布局的随机化。代码签名。沙盒机制。 移动应用安全保护机制及技术方案。移动应用安全加固。 反编译(程序文件加密,代码混淆:名称混淆,控件混淆,计算混淆)反调试(设置调试检测功能,触发反调试安全保护措施)防篡改(数字签名,多重检查)防盗(加密),移动App安全检测。
云点播(VOD)是集音视频上传、直播录制、媒体资源管理、自动化转码处理、视频 AI、分发加速、播放器 SDK 于一体的一站式音视频点播解决方案,广泛应用于视频、游戏、教育、传媒、电商、社区等场景。
扫码关注腾讯云开发者
领取腾讯云代金券
云服务器
即时通信 IM
网站备案
对象存储
实时音视频
