演讲议题巡展 | 从小程序到应用克隆:小程序架构安全风险分析
2024-7-22 16:4:45 Author: mp.weixin.qq.com(查看原文) 阅读量:16 收藏

经过精心筹备与多方努力

KCon 2024 黑客大会敲定举办时间

将于8月24日-25日举办

本次大会涵盖了网安领域的不同热点话题

为了展示演讲议题风采

让大家了解更多大会情况

特此开展议题巡展

欢迎围观~

演讲者:

侯江春曦

抖音攻防蓝军安全工程师

马彬

抖音攻防蓝军负责人

抖音攻防蓝军团队(IES Red Team),基于蓝军视角和攻防技术赋能内部业务安全建设,通过安全研究为行业安全保驾护航。此次议题由团队曹翔宇、赵轶杰、宋莹燕、廖子溪、温伟等共同完成,团队成员在Black Hat USA/Europe/Asia等会议有代表成果,多次获得Apple、Google颁发的CVE和致谢。

议题介绍:

从小程序到应用克隆:小程序架构安全风险分析

小程序生态的蓬勃发展,给移动互联网用户带来便捷的交互体验,但随之也引入一些安全问题。过往的研究主要聚焦在小程序本身安全的问题,但较少提及对宿主APP的影响。事实上,小程序的“一键直达”、“用完即走”的特性,小程序与宿主APP之间的“不完美的隔离”,给Android和iOS应用带来了新的远程静默攻击途径。

行业内多个小程序框架提供了丰富的API访问能力,但限制了对宿主APP内数据的访问和操作,然而部分APP未做好安全隔离,导致恶意小程序通过多种方式绕过限制,进一步无感入侵宿主APP。为实现跨平台一致,多数小程序底层使用浏览器内核作为引擎,但部分APP实现了浏览器的功能,却未保持安全特性的一致。此外,小程序特有的调试模式、隐藏API等特性,也为宿主APP打开了一扇大门。

我们对几个主流的超级应用进行了研究,发现了小程序生态多个攻击面会直接影响宿主APP的安全,通过组合几个链路,我们实现了对几个宿主APP的无感“克隆攻击”(相关问题均已上报并完成修复,内容完全脱敏且不涉及任何厂商)。此次演讲,我们希望揭示小程序这个新型远程攻击面,给移动APP安全研究员带来新挖掘视角同时,也保护亿级规模移动用户的隐私安全。

期待与师傅们在线下相聚,不见不散!

早鸟票优惠将于2024年7月31日23:59分截止,错过此刻,优惠不再。

还在观望的小伙伴请抓紧时间~

KCon 2024 门票

KCon 2024的线上售票通道已开启

购票网址:

https://www.4hou.com/tickets/eERv

长按识别下方二维码

点击文末“阅读原文”

立即购票

● 早鸟票:1638元(需在2024.8.1前购票)

● 学生票:410元(需提供相关证明)

● 团队票:1434元(3张起购)

● 学生团体票:738(2张)984(3张)1435元(5张)(需提供相关证明)

● 普通票:2048元


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzOTAwNzc1OQ==&mid=2651137583&idx=1&sn=0eb6659c427099975821d60a45893b28&chksm=f2c1274fc5b6ae59882e1145f1e79e1df62ee5273c8a4a8294610b37c2bd0b1c1c085edd3684&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh