天创培训:您身边的信息安全培训专家!
开班计划
天创CISP/CISP-PTE寒假集训营火热招生中
主讲老师   张老师
开课时间   1月23日-2月5日,2月22日-2月6日
培训方式   线上课程+线下培训
授课天次   
上课时间   1月,2月
课程介绍 在线报名
CISP-PTE一月寒假训练营火热报名中
主讲老师   张老师
开课时间   1月
培训方式   线上课程+线下培训
授课天次   21
上课时间   1月
课程介绍 在线报名
2021年1月CISP开班!火热招生中!
主讲老师   张老师、王老师等
开课时间   1月9日
培训方式   网络课程
授课天次   培训5天+考试半天
上课时间   1月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

Shazam漏洞暴露给Android,iOS用户的位置

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2021-01-25  关键词:Android,iOS,安全

Shazam中的漏洞于2019年被发现,但其详细信息仅在上周才披露。

在电视上找不到那首歌的名字是什么?您知道谁会帮忙– Shazam。不过,最近在流行的应用程序中发现了一个漏洞,该漏洞可能使恶意行为者知道受害者的位置

该漏洞当时影响了超过1亿用户,有可能损害这些用户的物理安全性,从而标志着其严重性。

称为 CVE-2019-8791 和 CVE-2019-8792 ; 该漏洞是由英国IT安全研究员Ashley King发现的。值得注意的是,该问题也早在2018年就已发现,此后于同年12月向公司报告。

然而,由于Shazam当时被苹果收购,因此Ashley被要求与Apple共同处理该问题,导致该缺陷最终于2019年3月26日在iOS和Android上得到修复,而没有得到任何回报。

谈到该漏洞,它的工作原理是攻击者可以将恶意链接发送给其预期的受害者。如果受害者打开了它,这将自动打开Shazam应用并执行恶意软件,从而将受害者的位置数据发送给攻击者。

在解释可以使用哪种类型的链接的技术性之后,研究人员在博客文章中指出:

“Shazam在整个应用程序中使用深层链接作为其导航的一部分。我发现一个特定的导出的深层链接(负责在Webview中加载网站)无法验证其参数,从而可以控制外部资源。

该网络视图包括一些javascript界面,这些界面允许内容与Android和iOS API进行通信,从而可以拉回特定于设备的信息和用户的最后已知精确位置。”

Android,iOS,安全

总而言之,根据Ashley的说法, 尽管已对其进行了修补,但Google Play安全奖励计划 和Apple本身当时都认为该漏洞不够严重。

这只是向我们显示了网络安全社区与围栏另一头的人之间可能存在的优先级差异。将来,我们可能会继续了解企业如何看待用户隐私。

(来源:HackRead)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000