谷歌方面表示,截至 2019 年 10 月,五分之四(80%)可通过官方 Play 商店下载的 Android 应用程序正在使用 HTTPS 加密各自的网络流量。而对于直接针对 Android 9 的应用,该数字甚至更高,达到 90%。这意味着进入或离开这些应用程序之一的流量是经过加密的,第三方无法拦截或读取。
谷歌预计,这一数字将在未来几年内上升,这主要是由于该公司自 2016 年以来已逐步推出并实施了一系列措施。其中包括了 IDE 工具和 Google Play 开发人员仪表板中的警告。
据悉,自 2017 年以来,谷歌一直在推动 Android 开发人员将加密流量集成到其应用程序中,以便在应用程序通过Internet或网络进行通信时提供更好的安全性和隐私性。
从 2016 年的 Android 7 开始,Google 引入了网络安全配置文件,该文件允许应用开发人员在执行网络通信时选择不使用明文。在 2018 年发布的 Android 9 中,Google 进一步采取了措施,使所有以 Android 9 或更高版本为目标的应用程序都将自动使用默认策略,以阻止应用程序使用未加密的流量。
值得一提的是,在对应用程序开发人员实施 HTTPS 方面,谷歌比苹果要好得多。2019 年 6 月发布的一份报告发现,只有三分之一的 iOS 应用正在使用 ATS,这是一种用于加密 iOS 应用的网络流量的技术。
除了 Android 应用程序制造商之外,Google 还成功地推动了网站采用 HTTPS 代替易受攻击的 HTTP 协议。
根据该公司的透明度报告,Chrome 内的 HTTPS 使用率现在介于 85% 和 95% 之间,具体取决于平台。
例如,现在 Android 中的 Chrome 内加载的所有网站中,有 89% 是通过 HTTPS 加载的。在 Windows 版 Chrome 上,这个数字是 84%。
而 Firefox 方面也可以看到类似的情况,该组织最近报告了自己的里程碑,早在 9 月,Firefox 已首次通过 HTTPS 加载了所有网页的 80% 以上。
来源:开源中国
更多资讯
Android 漏洞 StrandHogg 正被利用
安全公司 Promon 的研究员披露了一个正被利用的 Android 漏洞 StrandHogg,恶意程序能利用该漏洞窃取用户的银行账号。漏洞存在于名为 TaskAffinity 的多任务功能中,它允许应用假定多任务环境中运行的其它应用或任务的身份。
恶意程序可利用该功能设置它的一个活动去匹配信任第三方应用的包名字。组合其它欺骗方法恶意应用可以劫持目标任务,请求权限去执行敏感任务如记录音频、拍摄照片、阅读短信,或钓鱼登录凭证。
来源:solidot.org
详情链接: https://www.dbsec.cn/blog/article/5512.html
Firefox Private Network 现扩大 Beta 测试范围 增强用户隐私保护
伴随着棱镜监控丑闻的持续发酵以及各种恶意网络攻击的肆虐,消费者对于自身隐私保护的意识越来越强。在提供强大的“请勿跟踪”功能的同时,Mozilla还希望通过VPN技术进一步增强用户隐私保护,而这正是Firefox Private Network(FPN)想要做的事情,现在邀请更多Beta用户参与测试。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5513.html
卡巴斯基安全软件被发现漏洞 可为黑客提供签名代码执行
安全研究公司 SafeBreach 在卡巴斯基安全连接软件中发现的一个安全问题,它本身被捆绑到一系列其他卡巴斯基安全产品中,允许恶意攻击者在更复杂的攻击情况下获得签名代码执行,甚至规避防御。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5515.html
受限法规缺位 监管与网络黑产将是一项长期斗争
如果说在黑产上游需要加强运营商监管,那么在黑产下游,存在的问题就是平台监管的疏漏。“微信带圈老号 400 元,探探女性账号 170 元,男性账号 200 元。”昨日新京报报道了网络上存在的账号买卖黑产链条,堪称触目惊心。报道称,现在不但账号买卖“供销两旺”,相关产业链条也极其发达,“配套服务”健全,号贩子们不但能提供账号,还提供代收验证码服务,不少接码平台已“入驻”微信公众号,侵入到微信生态中。
来源:新京报
详情链接:https://www.dbsec.cn/blog/article/5516.html
(信息来源于网络,安华金和搜集整理)
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/51437.html