经过精心筹备与多方努力
KCon 2024 黑客大会敲定举办时间
将于8月24日-25日举办
本次大会涵盖了网安领域的不同热点话题
为了展示演讲议题风采
让大家了解更多大会情况
特此开展议题巡展
欢迎围观~
演讲者:
侯江春曦
抖音攻防蓝军安全工程师
马彬
抖音攻防蓝军负责人
抖音攻防蓝军团队(IES Red Team),基于蓝军视角和攻防技术赋能内部业务安全建设,通过安全研究为行业安全保驾护航。此次议题由团队曹翔宇、赵轶杰、宋莹燕、廖子溪、温伟等共同完成,团队成员在Black Hat USA/Europe/Asia等会议有代表成果,多次获得Apple、Google颁发的CVE和致谢。
议题介绍:
从小程序到应用克隆:小程序架构安全风险分析
小程序生态的蓬勃发展,给移动互联网用户带来便捷的交互体验,但随之也引入一些安全问题。过往的研究主要聚焦在小程序本身安全的问题,但较少提及对宿主APP的影响。事实上,小程序的“一键直达”、“用完即走”的特性,小程序与宿主APP之间的“不完美的隔离”,给Android和iOS应用带来了新的远程静默攻击途径。
行业内多个小程序框架提供了丰富的API访问能力,但限制了对宿主APP内数据的访问和操作,然而部分APP未做好安全隔离,导致恶意小程序通过多种方式绕过限制,进一步无感入侵宿主APP。为实现跨平台一致,多数小程序底层使用浏览器内核作为引擎,但部分APP实现了浏览器的功能,却未保持安全特性的一致。此外,小程序特有的调试模式、隐藏API等特性,也为宿主APP打开了一扇大门。
我们对几个主流的超级应用进行了研究,发现了小程序生态多个攻击面会直接影响宿主APP的安全,通过组合几个链路,我们实现了对几个宿主APP的无感“克隆攻击”(相关问题均已上报并完成修复,内容完全脱敏且不涉及任何厂商)。此次演讲,我们希望揭示小程序这个新型远程攻击面,给移动APP安全研究员带来新挖掘视角同时,也保护亿级规模移动用户的隐私安全。
期待与师傅们在线下相聚,不见不散!
早鸟票优惠将于_2024年7月31日23:59分截止_,错过此刻,优惠不再。
还在观望的小伙伴请抓紧时间~
KCon 2024 门票
KCon 2024的线上售票通道已开启
购票网址:
https://www.4hou.com/tickets/eERv
长按识别下方二维码或
点击文末**“阅读原文”**
立即购票
● 早鸟票:1638元(需在2024.8.1前购票)
● 学生票:410元(需提供相关证明)
● 团队票:1434元(3张起购)
● 学生团体票:738(2张)984(3张)1435元(5张)(需提供相关证明)
● 普通票:2048元