默認情況下 80% 的 Android 應用正在使用加密流量
谷歌方面表示,截至 2019 年 10 月,五分之四(80%)可通過官方 Play 商店下載的 Android 應用程序正在使用 HTTPS 加密各自的網路流量。而對於直接針對 Android 9 的應用,該數字甚至更高,達到 90%。這意味著進入或離開這些應用程序之一的流量是經過加密的,第三方無法攔截或讀取。
作者/來源: 安華金和
谷歌方面表示,截至 2019 年 10 月,五分之四(80%)可通過官方 Play 商店下載的 Android 應用程序正在使用 HTTPS 加密各自的網路流量。而對於直接針對 Android 9 的應用,該數字甚至更高,達到 90%。這意味著進入或離開這些應用程序之一的流量是經過加密的,第三方無法攔截或讀取。
谷歌預計,這一數字將在未來幾年內上升,這主要是由於該公司自 2016 年以來已逐步推出並實施了一系列措施。其中包括了 IDE 工具和 Google Play 開發人員儀錶板中的警告。
據悉,自 2017 年以來,谷歌一直在推動 Android 開發人員將加密流量集成到其應用程序中,以便在應用程序通過Internet或網路進行通信時提供更好的安全性和隱私性。
從 2016 年的 Android 7 開始,Google 引入了網路安全配置文件,該文件允許應用開發人員在執行網路通信時選擇不使用明文。在 2018 年發布的 Android 9 中,Google 進一步採取了措施,使所有以 Android 9 或更高版本為目標的應用程序都將自動使用默認策略,以阻止應用程序使用未加密的流量。
值得一提的是,在對應用程序開發人員實施 HTTPS 方面,谷歌比蘋果要好得多。2019 年 6 月發布的一份報告發現,只有三分之一的 iOS 應用正在使用 ATS,這是一種用於加密 iOS 應用的網路流量的技術。
除了 Android 應用程序製造商之外,Google 還成功地推動了網站採用 HTTPS 代替易受攻擊的 HTTP 協議。
根據該公司的透明度報告,Chrome 內的 HTTPS 使用率現在介於 85% 和 95% 之間,具體取決於平台。
例如,現在 Android 中的 Chrome 內載入的所有網站中,有 89% 是通過 HTTPS 載入的。在 Windows 版 Chrome 上,這個數字是 84%。
而 Firefox 方面也可以看到類似的情況,該組織最近報告了自己的里程碑,早在 9 月,Firefox 已首次通過 HTTPS 載入了所有網頁的 80% 以上。
來源:開源中國
更多資訊
Android 漏洞 StrandHogg 正被利用
安全公司 Promon 的研究員披露了一個正被利用的 Android 漏洞 StrandHogg,惡意程序能利用該漏洞竊取用戶的銀行賬號。漏洞存在於名為 TaskAffinity 的多任務功能中,它允許應用假定多任務環境中運行的其它應用或任務的身份。
惡意程序可利用該功能設置它的一個活動去匹配信任第三方應用的包名字。組合其它欺騙方法惡意應用可以劫持目標任務,請求許可權去執行敏感任務如記錄音頻、拍攝照片、閱讀簡訊,或釣魚登錄憑證。
來源:solidot.org
詳情鏈接: https://www.dbsec.cn/blog/article/5512.html
Firefox Private Network 現擴大 Beta 測試範圍 增強用戶隱私保護
伴隨著稜鏡監控醜聞的持續發酵以及各種惡意網路攻擊的肆虐,消費者對於自身隱私保護的意識越來越強。在提供強大的「請勿跟蹤」功能的同時,Mozilla還希望通過VPN技術進一步增強用戶隱私保護,而這正是Firefox Private Network(FPN)想要做的事情,現在邀請更多Beta用戶參與測試。
來源:cnBeta.COM
詳情鏈接: https://www.dbsec.cn/blog/article/5513.html
卡巴斯基安全軟體被發現漏洞 可為黑客提供簽名代碼執行
安全研究公司 SafeBreach 在卡巴斯基安全連接軟體中發現的一個安全問題,它本身被捆綁到一系列其他卡巴斯基安全產品中,允許惡意攻擊者在更複雜的攻擊情況下獲得簽名代碼執行,甚至規避防禦。
來源:cnBeta.COM
詳情鏈接: https://www.dbsec.cn/blog/article/5515.html
受限法規缺位 監管與網路黑產將是一項長期鬥爭
如果說在黑產上游需要加強運營商監管,那麼在黑產下游,存在的問題就是平台監管的疏漏。「微信帶圈老號 400 元,探探女性賬號 170 元,男性賬號 200 元。」昨日新京報報道了網路上存在的賬號買賣黑產鏈條,堪稱觸目驚心。報道稱,現在不但賬號買賣「供銷兩旺」,相關產業鏈條也極其發達,「配套服務」健全,號販子們不但能提供賬號,還提供代收驗證碼服務,不少接碼平台已「入駐」微信公眾號,侵入到微信生態中。
來源:新京報
詳情鏈接: https://www.dbsec.cn/blog/article/5516.html
(信息來源於網路,安華金和搜集整理)
點擊「了解更多」可訪問文內鏈接
※bauh:在一個界面中管理 Snap、Flatpak 和 AppImage
※iOS 應用程序有望從新提議的 Security.plist 標準中受益