취약점 분석

이 글에서는 360 Vulpecker Team의 보안 연구원인 Li Bo와 Zhang Xin이 실제로 진행한 모바일 APP 타사 SDK의 취약점 마이닝을 소개합니다. 360 Vulpecker 팀은 안드로이드 시스템과 애플리케이션 보안 공격 및 방어 분야에 중점을 두고 있으며, 안드로이드 애플리케이션 보안 감사를 위한 자동화 시스템을 자체 개발했습니다. 이 기사는 타사 SDK의 보안 상태부터 시작하여 SDK 통합으로 인한 보안 위험에 대해 논의하고 다양한 SDK의 취약점 위험 및 공격 방법을 자세히 소개합니다. Push SDK와 공유 SDK의 취약점 악용 방식을 사례를 통해 분석하고, 해당 취약점이 애플리케이션에 미치는 영향 범위를 지적합니다. 마지막으로 모바일 앱의 보안에 대한 독자들의 관심과 깊이 있는 고민을 불러일으키기 위한 몇 가지 생각을 제시한다.

구글 안드로이드 14 입력방식 정보 공개 취약점, 사이드 채널 정보 유출로 인해 권한 조회 없이 애플리케이션 설치 여부를 확인할 수 있는 방법이 있다. 이로 인해 별도의 실행 권한 없이도 지역 정보가 공개될 수 있습니다. 이 취약점을 악용하려면 사용자 상호 작용이 필요하지 않습니다.

2021년 11월 24일 Alibaba Cloud 보안팀은 Apache Log4j2 원격 코드 실행 취약점을 Apache 관계자에게 보고했습니다. 01 취약점 설명 Apache Log4j2는 뛰어난 Java 로깅 프레임워크입니다. …