一分钟读论文:《细孔沉千帆:小程序权限漏洞研究》

2023-01-31 08:26:10 +08:00
 Micropaper

微信、抖音和支付宝的小程序的月活用户总数接近全球最受欢迎的社交网络 Facebook 28.9 亿 MAU。北京电子科技学院的论文《 A SMALL LEAK WILL SINK MANY SHIPS: VULNERABILITIES RELATED TO MINI PROGRAMS PERMISSIONS 》 对小程序权限进行研究。对9 个流行的移动应用生态系统超过 700 万个小程序进行了系统研究,测试了超过 2,580 个 API,发现6 类潜在安全漏洞,银联、字节、微信、QQ 、支付宝、百度、小米、华为纷纷中招,并总结了小程序保护用户隐私的系统性建议。

阅读全文:一分钟读论文:《细孔沉千帆:小程序权限漏洞研究》

2585 次点击
所在节点    程序员
6 条回复
jamosLi
2023-01-31 09:44:49 +08:00
好文
yeh
2023-01-31 10:05:06 +08:00
直接打开⽀付宝⼩程序中的“⾼德地图”即可精准定位⽤⼾,忽略⼩程序向⽤⼾申请位置权限。
⼀些公司可能会在不同的⼩程序之间共享⽤⼾信息。例如,在微信中登录“拼多多”⼩程序。

––––你觉得这是漏洞,其实这是 feature 。
musi
2023-01-31 10:13:08 +08:00
你猜一下高德地图跟阿里是啥关系
你猜一下微信和拼多多之间有没有什么交易
在资本面前说隐私实在是笑话
paopjian
2023-01-31 10:41:13 +08:00
字体太诡异了,这是味了规避风险? "⾼" "高"
cnbatch
2023-02-01 00:13:48 +08:00
这篇文章是多个人编写再汇总整合的吗?怎么连文字使用都不统一?

⽂(U+2F42)、文(U+6587)
⾼(U+2FBC)、高(U+9AD8)
⽤(U+2F64)、用(U+7528)
⼾(U+2F3E)、户(U+6237)
⼩(U+2F29)、小(U+5C0F)
⽆(U+2F46)、无(U+65E0)
⻛(U+2EDB)、风(U+98CE)

这样会导致页面上的部分段落显得尤为突兀,容易打断阅读者的思路,突兀次数越多打断的次数也就越多,反正我在阅读的时候已经被这些突兀的文字转移了注意力。
jin7
2023-02-01 06:37:04 +08:00
@cnbatch 故意的 防抄袭吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/911818

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX