OPPO安全首次亮相Black Hat Asia 2021亚洲黑帽大会
BlackHat是由传奇黑客Jeff Moss于1997年创办的全球性网络安全大会,被誉为黑客世界的“奥斯卡”,每年分别在美国、欧洲、亚洲各举办一场,作为全球信息安全行业的顶级盛会,自诞生以来每年都吸引了全球众多企业、政府机构和顶级安全厂商、研究组织的关注和参与。
在本届Black Hat Asia 2021大会上,OPPO子午互联网安全实验室曾智洋、吴逸民、刘波带来《A New Era of One-Click Attacks: How to Break Install-Less Apps》的议题,该议题着眼于分析以快应用为代表的免安装应用的开发全生命周期中的安全架构设计与安全漏洞,介绍我们在Google PWA、QuickApp、Apple Appclips、Google InstantApp等流行产品中发现的一部分安全隐患,并详细说明如何从浏览器一键发起攻击,并实行远程命令执行。
本文通过实际的漏洞案例,从安全研究人员和开发者角度去讲解在免安装应用引擎中频发的漏洞以及如何规避此类风险, 比如:
引擎文件沙箱:引擎应当限制快应用runtime或缓存的任何数据到引擎私有目录下的具体目录,切勿存放在外部存储,同时应防止目录穿越或zipdown类型漏洞;
引擎权限管控:引擎应当对过于敏感的权限进行后台管控,除了麦克风摄像头等,也应该关注获取用户隐私信息,如通讯录、imei等信息的权限;
引擎进程与数据隔离:可把引擎比做浏览器,每个快应用作为一个标签页即一个独立的render process进程,应用间共享数据以及操作引擎数据库式应做好权限和可修改范围检查。
JS引擎漏洞:除了需要关注解析免安装应用代码本身javascript代码的js解析引擎漏洞,也应该关注webview组件的js引擎漏洞;
图片、音视频渲染组件:对于此类组件的安全漏洞也应当引起重视。
OPPO安全希望本次分享能帮助更多的开发者了解及规避安全隐患,安全生态共建需要每一个您的参与。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- 1 总书记强调念好“山海经” 7904532
- 2 1米97男生已被浙大录取仍参加高考 7809269
- 3 马斯克的“星链”卫星突然大批坠落 7714143
- 4 2025中国网络文明大会将启幕 7619086
- 5 英语听力配音员露脸了 7520155
- 6 中办国办:合理提高最低工资标准 7426674
- 7 章莹颖遇害8年父母边治病边还债 7332793
- 8 小米YU7“老头乐版”已上路 7238310
- 9 全网都在祝烤鸭店老板女儿夺魁 7136185
- 10 前5个月外贸运行有何特点亮点 7042965