央视315曝光SDK事件,应用开发者如何避坑?

7月16日晚,央视3·15晚会拉开大幕,再次敲响了消费领域的警钟。据央视报道,上海市消费者权益保护委员会委托第三方对市场上的App进行检测,发现某些第三方开发的SDK包存在违规收集用户个人信息的情况。日前,工信部已要求严厉查处涉事企业,并责成国内主要应用商店展开“地毯式”排查,及时通知APP运营开发者自查自纠,及时发现、处理违规收集用户个人信息的SDK。

第三方SDK泄露隐私问题的暴露,意味着安全风险检测在应用开发与运营过程中非常关键,APP需要全方位、全生命周期的安全检测与管理,以确保广大用户的信息安全。

腾讯安全自研的自动化Android应用漏洞扫描系统——ApkPecker,能够进行高效的安全漏洞扫描,精准定位漏洞并提供修复建议,提升应用安全性。针对第三方SDK,ApkPecker可以精准识别各类风险漏洞,助力应用开发者及时防御,有效对抗。

近五成APP存在SDK漏洞,移动应用需要全方位检测

移动应用从开发、上架到用户实际交互使用涉及多个环节,每个环节都存在引发安全问题的诸多因素。

SDK(Software Development Kit),全名软件开发工具包,是用来辅助开发某一类软件的相关文档、范例和工具的集合。有了这些第三方的SDK,APP就能高效而低成本地实现社交、支付、地图等功能;但由于开发者的安全能力有限、安全能力不足,同时也会不可避免地带来一些未知风险。

以央视3·15曝光的SDK问题为例,第三方SDK除了会读取设备的运营商信息、电话号码、短信记录外,还会上传用户手机中的短信内容,包括带有验证码的短信。短信验证码是App验证用户身份的重要手段,通过短信验证码可以完成开通业务、支付款项等多项敏感操作,一旦泄露将严重危害用户的财务安全。

(图:2020年3·15晚会视频截图)

伴随移动应用开发技术的飞速发展,除第三方SDK泄露隐私外,恶意破解、盗版、核心代码被窃取、恶意代码注入、APP劫持、移动业务攻击等安全风险,可能存在于应用开发、分发与使用的各个环节。因此,移动应用安全防御需要产业链各个角色参与。

腾讯ApkPecker高效、准确助力行业加固移动应用安全

腾讯安全自研的面向攻击面的Android应用检测系统ApkPecker,可以帮助行业上下游完成相关安全风险检测与控制工作。在Apkpecker的助力下,广大移动应用开发商可以对各种移动应用风险进行有力的防御,建立从APP开发到用户交互的产品全生命周期的安全管理,开展实时的安全风险检测与控制,为用户的手机信息、财产安全保驾护航。

据了解,ApkPecker漏洞检测流程包括构建控制流图、静态数据流分析和污点分析、漏洞挖掘以及出具漏洞检测结果四个关键步骤。其中,控制流图主要针对Android应用生命周期和应用攻击面建模;数据流分析和污点分析能够构建所关注的数据流向,提供数据源到漏洞点的数据流路径构建能力,包括Forward 和Backward 两种分析模式;漏洞挖掘覆盖了公开组建、外置存储空间、WebView回调、JavaScriptInterface回调、开放Socket端口等全面的攻击面,基本覆盖Android应用中出现的问题。

ApkPecker的核心优势有三。一是检测方法更精确,通过控制流分析、数据流分析和静态污点分析,ApkPecker能够尽可能地恢复数据信息,进行多层级的综合判断。二是漏洞检测点更有效,ApkPecker基于腾讯安全以往经验的总结,能够发现危害性、利用性更高的漏洞。三是攻击路径更完整、更易于验证。ApkPecker跟踪从攻击面入口到漏洞触发的完整路径,能够大大提高漏洞分析的效率。

通过一系列高效、完备、准确的漏洞检测流程,ApkPeckerP已经具备了控制管理和APP漏洞自动挖掘能力,能够实现程序源文件、内部数据交互、APP防御、第三方SDK等多维度的漏洞检测。

(图:ApkPecker移动应用安全检测报告)

目前,Apkpecker的安全检测能力已被持续验证并获得认可。譬如,Apkpecker于去年8月集成了腾讯金刚检测系统,为腾讯自研APP安全保驾护航;在国内外100+知名APP中发现160+可利用安全漏洞,漏洞反馈获得Google 官方认可;检测到PayPal旗下Venmo应用价值1W美元的远程账号劫持漏洞等。

Apkpecker由腾讯安全联合实验室旗下的科恩实验室研发。作为腾讯安全旗下的信息安全团队,腾讯安全科恩实验室的技术实力和科研成果处于国际领先水平,是世界范围内由厂商官方确认发现计算机漏洞数量最多、最了解突破现代安全保护技术的专业安全团队之一。随着更多ICT新技术进入产业互联网,腾讯安全科恩实验室还将向智能网联汽车、安卓应用生态、IoT等行业开放核心技术能力,并根据产业实际痛点和深度研究推出相关行业信息安全解决方案,为各行业安全生态建设和健康发展贡献力量。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/517079.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

VS Code 切换大小写

默认是空的,我设置的快捷键是 shift altd 转换为大写 shift altx 转换为小写

携程实时智能检测平台建设实践

本次演讲将为大家介绍携程实时智能异常检测平台——Prophet。到目前为止,Prophet基本覆盖了携程所有业务线,监控指标的数量达到10K,覆盖了携程所有订单、支付等重要的业务指标。Prophet将时间序列的数据作为数据输入,以监控平台作…

VS Code 设置好看的字体:Operator Mono

文章目录一、字体资源地址1. 链接2. 资源下载二、效果图2.1. JS 代码效果2.2. CSS 文件效果2.3. HTML 文件效果三、安装字体3.1. 字体列表3.3. 安装方式3.3. VSCode 配置一、字体资源地址 1. 链接 FiraCode 和 Operator Mono 字体下载地址 2. 资源下载 Git下载 git clone …

钟南山团队携手腾讯研发新冠重症AI预测 成果登上Nature子刊

钟南山院士团队与腾讯AI Lab日前披露了利用AI预测COVID-19患者病情发展至危重概率的研究成果,可分别预测5天、10天和30天内病情危重的概率,有助合理地为病人进行早期分诊。这项研究已在2020年7月15日发布于国际顶级期刊《Nature》子刊《Nature Communica…

CentOs搭建svn

安装SVN yum install -y subversion检查是否安装成功 svnserve --version创建版本库 我们先创建/var/svn这么目录 mkdir /var/svn cd /var/svn创建版本库 svnadmin create /var/svn/project后边的project就是我们项目的版本库 cd project ls 会看到自动生成的版本库文件…

互联网全域降维攻击战略概述

前言: 在互联网维度体系概念被提出之后,社会上对于降维的理解向不同的方向发展,如很多人认为降维呈现的是有高难度业务实施能力的企业向低难度领域业务进行渗透和发展的方式,还有的认为降维就是互联网行业对于传统行业的业务冲击…

当达摩院大牛学会抠图,这一切都不受控制了……

在外界人眼中,达摩院人才济济,大多是奇人异士,做着神秘且高端的研究,有如扫地僧一般的存在,但是如果有一天,当神秘专家不再神秘,你发现他们也开始玩抠图,且这一切都朝着不受控制的方…

腾讯安全携手华夏银行“论道”金融风控,传递在线反欺诈干货建议

前不久,Gartner发布了《在线反欺诈市场指南》,对全球聚焦在线反欺诈全链路监测与防护的厂商进行评估,给遭遇欺诈的企业提供了应对指南和选择建议。其中腾讯云成为中国唯一入选服务商,得到了Gartner官方的推荐。在报告中&#xff0…

Flutter嵌套深?扩展函数了解一下

背景 嵌套层级深的问题让众多刚接触Flutter的同学感到困扰,它不仅是看起来让人感到不适,还非常影响编码体验。 大佬们会告诉你应该拆分自己的嵌套代码(自定义widget或者抽取build方法)来减少嵌套层级。这确实是个行之有效的方法&#xff0c…

VS Code 中的文件添加图标的插件vscode-icons

文章目录1. 效果图2. 用法1. 效果图 2. 用法 一旦你安装了该插件你重启VS Code后会在右下角收到一个该插件的提示,这时你要点击Activate激活icons。 你也可以通过点击以下功能来激活它(VS Code中可能存在很多主题,想用哪个就激活哪个)。 Linux & W…

开发者说:如何使用插件降低上传文件部署服务的复杂度

“ 这里描述我们实际服务部署的时候频繁发生的两个常用场景。 第一个场景,我们“办公网环境”想要在“准生产环境”下部署,需要做如下工作: 打包、将文件上传到堡垒机上、scp将上传好的包裹传输到“准生产环境”的目标机器、ssh 目标机器、r…

打开通往新零售时代的大门,数据中台这把钥匙可行吗?

2016年“新零售”概念提出即被引爆,如今看来依然让人热血沸腾,因为这三个字,极有可能影响未来十年、二十年的商业格局。在新零售概念下,大数据技术可以在任何时间和地点无形地收集和沉淀客户的主要行为数据,直接掌握客…

Vue+mui实现图片的本地缓存

效果&#xff1a; const menu {state: {products: {},GLOBAL_CONFIG:GLOBAL_CONFIG[GLOBAL_CONFIG]},mutations: {get_product: function (state, products) {//商品列表state.products products;for(let i 0; i < state.products.length; i){if(state.products[i][image…

年度回顾 | 2019 年的 Apache Flink

2019 年即将落下帷幕&#xff0c;这一年对于 Apache Flink 来说是非常精彩的一年&#xff0c;里程碑式的一年。随着这一年在邮件列表发送了超过 1 万封邮件&#xff0c;JIRA 中超过 4 千个 tickets&#xff0c;以及 GitHub 上超过 3 千个 PR&#xff0c;Apache Flink 迎来了快速…

VS Code 报错Vetur can‘t find ‘tsconfig.json‘ or ‘jsconfig.json‘的解决方法

文章目录一、原因二、说明三、显式项目四、解决方法&#xff08;3选1&#xff09;4.1. 配置Vetur插件&#xff0c;忽略提示4.2.在项目根目录创建jsconfig.json文件4.3.在项目根目录创建vetur.config.js文件一、原因 Vetur 0.31.0版本新增了一个vetur.config.js的配置文件&…

IDE 插件新版本发布,总有一个功能帮到你——开发部署提速 8 倍

对于开发者而言&#xff0c;提高工作效率大概有 2 种主要方式&#xff0c;第一种方式就是加快自己的工作速度&#xff0c;争取在同一段时间内多码一些代码、多干一些活来实现多产&#xff1b;而聪明的开发者会选择第二种方式&#xff0c;就是通过插件&#xff0c;让一些重复性的…

推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?

作者 | 马超来源 | CSDN&#xff08;ID&#xff1a;CSDNnews&#xff09;近日&#xff0c;全球安全事件频发&#xff0c;先是推特惊爆史诗级漏洞&#xff0c;黑客对推特进行比特币钓鱼骗局&#xff0c;获取了对包括美国前总统奥巴马、钢铁侠埃隆马斯克、和世界首富比尔盖茨推特…

读懂这本书,才算读懂阿里大数据

2019年&#xff0c;是阿里巴巴第11个双11。众所周知&#xff0c;阿里的电商在线体系经过多年发展&#xff0c;可以支持峰值超过每秒50几万笔交易。但鲜有人知的是&#xff0c;海量的交易&#xff0c;创造了海量的数据&#xff0c;爆炸性的数据量激增&#xff0c;给狂欢过后的大…

Vue封装预约日期插件和发布到npm上

插件代码 <template><div class"subscribe-time" v-show"setting.display"><div class"subscribe-content"><div class"subscribe-date" v-if"setting.dateBlock true"><div class"subsc…

VS Code Element 提示 VSCode-Element-Helper 插件

文章目录1. 安装插件2. 效果图1. 安装插件 2. 效果图