預設情況下 80％ 的 Android 應用正在使用加密流量

谷歌方面表示，截至 2019 年 10 月，五分之四（80％）可透過官方 Play 商店下載的 Android 應用程式正在使用 HTTPS 加密各自的網路流量。而對於直接針對 Android 9 的應用，該數字甚至更高，達到 90％。這意味著進入或離開這些應用程式之一的流量是經過加密的，第三方無法攔截或讀取。

谷歌預計，這一數字將在未來幾年內上升，這主要是由於該公司自 2016 年以來已逐步推出並實施了一系列措施。其中包括了 IDE 工具和 Google Play 開發人員儀表板中的警告。

據悉，自 2017 年以來，谷歌一直在推動 Android 開發人員將加密流量整合到其應用程式中，以便在應用程式透過Internet或網路進行通訊時提供更好的安全性和隱私性。

從 2016 年的 Android 7 開始，Google 引入了網路安全配置檔案，該檔案允許應用開發人員在執行網路通訊時選擇不使用明文。在 2018 年釋出的 Android 9 中，Google 進一步採取了措施，使所有以 Android 9 或更高版本為目標的應用程式都將自動使用預設策略，以阻止應用程式使用未加密的流量。

值得一提的是，在對應用程式開發人員實施 HTTPS 方面，谷歌比蘋果要好得多。2019 年 6 月釋出的一份報告發現，只有三分之一的 iOS 應用正在使用 ATS，這是一種用於加密 iOS 應用的網路流量的技術。

除了 Android 應用程式製造商之外，Google 還成功地推動了網站採用 HTTPS 代替易受攻擊的 HTTP 協議。

根據該公司的透明度報告，Chrome 內的 HTTPS 使用率現在介於 85％ 和 95％ 之間，具體取決於平臺。

例如，現在 Android 中的 Chrome 內載入的所有網站中，有 89％ 是透過 HTTPS 載入的。在 Windows 版 Chrome 上，這個數字是 84％。

而 Firefox 方面也可以看到類似的情況，該組織最近報告了自己的里程碑，早在 9 月，Firefox 已首次透過 HTTPS 載入了所有網頁的 80％ 以上。

來源：開源中國

更多資訊

Android 漏洞 StrandHogg 正被利用

安全公司 Promon 的研究員披露了一個正被利用的 Android 漏洞 StrandHogg，惡意程式能利用該漏洞竊取使用者的銀行賬號。漏洞存在於名為 TaskAffinity 的多工功能中，它允許應用假定多工環境中執行的其它應用或任務的身份。

惡意程式可利用該功能設定它的一個活動去匹配信任第三方應用的包名字。組合其它欺騙方法惡意應用可以劫持目標任務，請求許可權去執行敏感任務如記錄音訊、拍攝照片、閱讀簡訊，或釣魚登入憑證。

來源：solidot.org

詳情連結： https://www.dbsec.cn/blog/article/5512.html 

Firefox Private Network 現擴大 Beta 測試範圍 增強使用者隱私保護

伴隨著稜鏡監控醜聞的持續發酵以及各種惡意網路攻擊的肆虐，消費者對於自身隱私保護的意識越來越強。在提供強大的“請勿跟蹤”功能的同時，Mozilla還希望透過VPN技術進一步增強使用者隱私保護，而這正是Firefox Private Network（FPN）想要做的事情，現在邀請更多Beta使用者參與測試。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5513.html 

卡巴斯基安全軟體被發現漏洞 可為駭客提供簽名程式碼執行

安全研究公司 SafeBreach 在卡巴斯基安全連線軟體中發現的一個安全問題，它本身被捆綁到一系列其他卡巴斯基安全產品中，允許惡意攻擊者在更復雜的攻擊情況下獲得簽名程式碼執行，甚至規避防禦。

來源：cnBeta.COM
詳情連結：https://www.dbsec.cn/blog/article/5515.html 

受限法規缺位 監管與網路黑產將是一項長期鬥爭

如果說在黑產上游需要加強運營商監管，那麼在黑產下游，存在的問題就是平臺監管的疏漏。“微信帶圈老號 400 元，探探女性賬號 170 元，男性賬號 200 元。”昨日新京報報導了網路上存在的賬號買賣黑產鏈條，堪稱觸目驚心。報導稱，現在不但賬號買賣“供銷兩旺”，相關產業鏈條也極其發達，“配套服務”健全，號販子們不但能提供賬號，還提供代收驗證碼服務，不少接碼平臺已“入駐”微信公眾號，侵入到微信生態中。

來源：新京報
詳情連結：https://www.dbsec.cn/blog/article/5516.html 

（資訊來源於網路，安華金和蒐集整理）