OPPO安全首次亮相Black Hat Asia 2021亚洲黑帽大会
BlackHat是由传奇黑客Jeff Moss于1997年创办的全球性网络安全大会,被誉为黑客世界的“奥斯卡”,每年分别在美国、欧洲、亚洲各举办一场,作为全球信息安全行业的顶级盛会,自诞生以来每年都吸引了全球众多企业、政府机构和顶级安全厂商、研究组织的关注和参与。
在本届Black Hat Asia 2021大会上,OPPO子午互联网安全实验室曾智洋、吴逸民、刘波带来《A New Era of One-Click Attacks: How to Break Install-Less Apps》的议题,该议题着眼于分析以快应用为代表的免安装应用的开发全生命周期中的安全架构设计与安全漏洞,介绍我们在Google PWA、QuickApp、Apple Appclips、Google InstantApp等流行产品中发现的一部分安全隐患,并详细说明如何从浏览器一键发起攻击,并实行远程命令执行。
本文通过实际的漏洞案例,从安全研究人员和开发者角度去讲解在免安装应用引擎中频发的漏洞以及如何规避此类风险, 比如:
引擎文件沙箱:引擎应当限制快应用runtime或缓存的任何数据到引擎私有目录下的具体目录,切勿存放在外部存储,同时应防止目录穿越或zipdown类型漏洞;
引擎权限管控:引擎应当对过于敏感的权限进行后台管控,除了麦克风摄像头等,也应该关注获取用户隐私信息,如通讯录、imei等信息的权限;
引擎进程与数据隔离:可把引擎比做浏览器,每个快应用作为一个标签页即一个独立的render process进程,应用间共享数据以及操作引擎数据库式应做好权限和可修改范围检查。
JS引擎漏洞:除了需要关注解析免安装应用代码本身javascript代码的js解析引擎漏洞,也应该关注webview组件的js引擎漏洞;
图片、音视频渲染组件:对于此类组件的安全漏洞也应当引起重视。
OPPO安全希望本次分享能帮助更多的开发者了解及规避安全隐患,安全生态共建需要每一个您的参与。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- 1 让互联网更好造福世界各国人民 7904266
- 2 世预赛最后一战!国足vs巴林 7808052
- 3 中国的垃圾不够烧了 7712370
- 4 “超算+量算” 告别算力孤岛时代 7618099
- 5 财政部:适当提高退休人员基本养老金 7523648
- 6 韦东奕为何只是北大助教?专家解读 7425977
- 7 网警护航 高考个人信息安全指南来了 7329068
- 8 曹颖14岁儿子被赞“最帅星二代” 7232639
- 9 马丽问沈腾是否想换年轻漂亮女搭档 7143419
- 10 全国多个景区为中、高考生送福利 7039401