V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
Micropaper
V2EX  ›  程序员

一分钟读论文:《细孔沉千帆:小程序权限漏洞研究》

  •  
  •   Micropaper ·
    unbug · 2023-01-31 08:26:10 +08:00 · 2593 次点击
    这是一个创建于 698 天前的主题,其中的信息可能已经有所发展或是发生改变。

    微信、抖音和支付宝的小程序的月活用户总数接近全球最受欢迎的社交网络 Facebook 28.9 亿 MAU。北京电子科技学院的论文《 A SMALL LEAK WILL SINK MANY SHIPS: VULNERABILITIES RELATED TO MINI PROGRAMS PERMISSIONS 》 对小程序权限进行研究。对9 个流行的移动应用生态系统超过 700 万个小程序进行了系统研究,测试了超过 2,580 个 API,发现6 类潜在安全漏洞,银联、字节、微信、QQ 、支付宝、百度、小米、华为纷纷中招,并总结了小程序保护用户隐私的系统性建议。

    • 加强主应用、应用厂商和用户的协同,形成个人隐私保护的管理体系的小程序。
    • 小程序通过宿主应用上架,宿主应用应严格控制权限管理,积极整治涉及用户敏感权限的 API ,最大程度保护用户隐私。
    • 应用厂商需要考虑现有的操作系统如何处理特定的 API 和结果反馈。 例如,工程师在一段时间后自动清除剪贴板。
    • 用户在使用小程序时也需要增强个人信息保护的安全意识,警惕来路不明的小程序,不要将自己的隐私信息快速授权给小程序,以免被非法收集和泄露,造成不必要的损失
    • 鼓励用户积极举报违法行为。

    阅读全文:一分钟读论文:《细孔沉千帆:小程序权限漏洞研究》

    6 条回复    2023-02-01 06:37:04 +08:00
    jamosLi
        1
    jamosLi  
       2023-01-31 09:44:49 +08:00
    好文
    yeh
        2
    yeh  
       2023-01-31 10:05:06 +08:00
    直接打开⽀付宝⼩程序中的“⾼德地图”即可精准定位⽤⼾,忽略⼩程序向⽤⼾申请位置权限。
    ⼀些公司可能会在不同的⼩程序之间共享⽤⼾信息。例如,在微信中登录“拼多多”⼩程序。

    ––––你觉得这是漏洞,其实这是 feature 。
    musi
        3
    musi  
       2023-01-31 10:13:08 +08:00
    你猜一下高德地图跟阿里是啥关系
    你猜一下微信和拼多多之间有没有什么交易
    在资本面前说隐私实在是笑话
    paopjian
        4
    paopjian  
       2023-01-31 10:41:13 +08:00
    字体太诡异了,这是味了规避风险? "⾼" "高"
    cnbatch
        5
    cnbatch  
       2023-02-01 00:13:48 +08:00
    这篇文章是多个人编写再汇总整合的吗?怎么连文字使用都不统一?

    ⽂(U+2F42)、文(U+6587)
    ⾼(U+2FBC)、高(U+9AD8)
    ⽤(U+2F64)、用(U+7528)
    ⼾(U+2F3E)、户(U+6237)
    ⼩(U+2F29)、小(U+5C0F)
    ⽆(U+2F46)、无(U+65E0)
    ⻛(U+2EDB)、风(U+98CE)

    这样会导致页面上的部分段落显得尤为突兀,容易打断阅读者的思路,突兀次数越多打断的次数也就越多,反正我在阅读的时候已经被这些突兀的文字转移了注意力。
    jin7
        6
    jin7  
       2023-02-01 06:37:04 +08:00
    @cnbatch 故意的 防抄袭吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2095 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 01:19 · PVG 09:19 · LAX 17:19 · JFK 20:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.