在Google Cloud Function中仅接收部分Apple订阅通知 - 腾讯云开发者社区

文章/答案/技术大牛

发布

基于iCloud日历的回拨型钓鱼攻击机制与防御对策研究

由于通知界面不显示完整发件人邮箱（仅显示“Apple Billing”），且链接在预览中不可点击（需打开日历App查看详情），用户往往在未核实来源的情况下直接拨打电话。...2.3 用户心理与行为诱因实验研究表明（N=1,200，2025），面对此类通知：68%的用户认为“这是Apple发来的系统提醒”；41%会在5分钟内尝试联系所示电话；仅12%会主动前往官网核实。...本文提出四层防御模型：4.1 终端配置加固关闭自动接受邀请：在iOS设置 > 日历 > 邀请中，禁用“自动接受”并启用“仅来自联系人”；限制远程协助软件：通过MDM策略禁止安装未经批准的远程桌面应用（如...AnyDesk、Chrome Remote Desktop）；启用通知来源显式标识：推动Apple在通知中显示完整发件人邮箱（当前仅开发者可申请测试版API）。...4.2 行为关联检测监控异常外呼行为：企业移动设备若在接收日历事件后短时间内拨打非常规号码（如非通讯录、非企业白名单），应触发告警；关联金融交易：若设备在日历事件后发起Apple Pay大额支付或App

2251 0

APP消息推送方案调研

通知提醒方式：通知栏消息固定会在通知栏显示，用户可感知的提醒方式还有状态栏图标、锁屏消息、熄屏图标、铃声、震动、呼吸灯等。常用场景：订阅内容、行程提醒、帐号动态等。...全称是：Google Cloud Messaging for Android，是Google为android手机开发的类似于iOS的APNS后台消息推送机制。...使用GCM推送服务的whatsapp即使后台程序和服务都关闭掉，也依然可以在第一时间接收到新消息的推送（实测在国内whatsapp也的确可以在后台关闭的情况下正常通过GCM接受实时消息）。...当你接收到通知，打开应用，才开始从腾讯服务器接收数据，跟你之前看到通知里内容一样，但却是经由两个不同的通道而来。...获取Firebase实例ID：在应用中，使用Firebase实例ID服务来获取一个唯一的标识符。这个服务会处理令牌的生成和刷新。

7.4K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

CapCut钓鱼攻击的技术机制与防御策略研究

根据Sensor Tower的数据，截至2024年底，CapCut在iOS和Android平台的累计下载量已超过15亿次，尤其在13至24岁用户群体中占据主导地位。...2.1 第一阶段：社会工程诱导攻击者首先通过大规模邮件投递系统向目标用户（主要为Apple设备用户）发送伪造的CapCut订阅通知。...4.2 开发者层面：强化应用安全与用户沟通CapCut等流行应用开发者应承担更多安全责任：明确订阅提示机制：在应用内首次开启订阅时，强制用户阅读并确认条款，避免“默认勾选”；提供官方通知渠道：通过应用内消息中心或推送通知发送订阅变更信息...，减少对电子邮件的依赖；部署品牌保护服务：注册与品牌相关的常见拼写错误域名（如capcutt.com、capkut.com），防止被用于钓鱼；与Apple合作验证：在涉及Apple ID的操作中，调用系统级认证接口...；建立快速举报通道：在邮件客户端和浏览器中嵌入“举报钓鱼”按钮，缩短从发现到封禁的响应时间；开展公众教育：通过系统更新提示、应用商店公告等方式，定期向用户推送钓鱼攻击识别指南。

1921 0

Google Cloud自动化功能遭滥用，全球3000家企业中招

邮件使用了标准的Google通知模板，发件域名是Google官方的notifications.google.com，链接也指向storage.googleapis.com——一个属于Google Cloud...沙箱难以捕获动态跳转多数邮件沙箱在分析链接时，仅抓取首层页面。若该页面无明显恶意脚本（如无eval()、无外连可疑IP），就会判定为“干净”。...整个过程无需黑客技术，仅需基础云操作知识。而Google Cloud对此类“合法使用”的监控极为有限——毕竟，每天有数百万开发者使用相同功能发送通知邮件。...六、Google的回应与行业反思截至发稿，Google尚未就此次事件发布官方安全公告，但Check Point表示已与Google安全团队协调，后者已对部分滥用项目采取限制措施。...七、结语：在“合法”的外衣下，警惕每一次点击这次Google Cloud钓鱼事件，是一记响亮的警钟：最危险的攻击，往往披着最合规的外衣。

2621 0

当浏览器变成“后门”：新型Matrix Push C2攻击席卷全球，国内用户如何守住第一道防线？

一、从“允许通知”开始的沦陷：一次点击，终身隐患？想象这样一个场景：你浏览一个看似正常的影视资源站，页面弹出提示：“为及时接收更新提醒，请允许本站发送通知。”...其核心流程包含三个角色：客户端（用户浏览器）推送服务（如Google FCM、Apple Push Notification Service）应用服务器（即攻击者的C2服务器）正常流程如下：用户访问网站...攻击流量全部经由Google、Apple等合法推送服务中转，网络层无法区分正常营销通知与恶意指令。第二，无文件特性。整个攻击链不写入磁盘，仅在内存和浏览器上下文中执行。...六、国内启示：在开放生态中筑牢安全底线中国拥有全球最活跃的互联网应用场景，从移动支付到社交电商，用户对“一键授权”的依赖程度极高。这也使得Matrix Push C2类攻击在国内具备天然土壤。...值得肯定的是，国内主流浏览器（如360、QQ、Edge中国版）已开始加强通知权限管理，部分产品默认屏蔽非HTTPS站点的通知请求。但芦笛指出：“这还不够。

2051 0

新型钓鱼攻击借力日历订阅功能悄然渗透数百万设备

而在中国，随着iCloud、Google Calendar、Outlook等跨平台日历服务在企业和个人用户中的普及，类似风险已悄然逼近。...BitSight团队在一次常规sinkhole（沉洞）监控中，注意到一个原本用于发布德国公立学校假期信息的.ics日历服务器域名突然开始接收海量请求——每天超过11,000个独立IP地址主动向其拉取日历数据...更危险的是，部分日历应用（尤其是旧版Android）甚至支持在DESCRIPTION中嵌入HTML或JavaScript片段（尽管现代系统已限制此行为）。...首先，跨国企业员工普遍使用Google Calendar或Outlook，这些平台完全支持外部日历订阅。其次，国内部分电商平台、票务网站也提供“添加到日历”功能（如大麦网、携程），用户已形成订阅习惯。...今天的威胁可能不在邮件里，不在网页中，而藏在你每天查看十几次的日历通知里。

1631 0

日历订阅机制滥用：新型钓鱼与恶意软件投递渠道分析

摘要近年来，数字日历服务中的订阅功能因其便捷性被广泛应用于零售促销、赛事提醒及教育通知等场景。...，客户端（如Apple Calendar、Google Calendar）定期轮询该URL以获取更新。...关键问题在于：无持续验证：订阅建立后，后续事件推送无需用户确认；高可信上下文：日历通知被视为“系统级”消息，常以原生弹窗形式呈现，用户易误认为来自可信来源；跨平台同步：一旦在一台设备订阅，事件将同步至所有绑定同一账户的设备...对于个人用户，建议在系统设置中手动审查并删除未知订阅源（iOS路径：设置 > 日历 > 账户；Android路径：Google日历App > 设置 > 日历 > 取消订阅）。...6.3 标准化倡议行业应推动iCalendar协议的安全增强，例如：引入基于DNSSEC或证书的源认证；支持事件内容的数字签名；定义安全级别标签（如“仅显示，不通知”）。

1701 0

基于浏览器通知的无文件C2攻击机制与防御体系研究——以Matrix Push为例

本文系统剖析Matrix Push的技术实现机理，包括其权限诱导策略、通知伪装逻辑、跨平台兼容性及后端C2架构；在此基础上，评估传统终端安全产品在该攻击链中的盲区，并提出一种融合浏览器策略强化、运行时行为监控与网络层异常检测的纵深防御体系...通过构建可部署的检测原型与自动化响应脚本，验证了所提方法在真实环境中的有效性。研究表明，针对基于合法Web API的滥用型攻击，需重构终端安全模型，将权限治理与上下文感知纳入核心防御维度。...Service Worker接收到消息后，调用showNotification()：// sw.jsself.addEventListener('push', function(event) {const...", "https://mail.google.com"]}其中，2表示“禁止所有站点请求通知”，白名单仅允许必要业务系统。...未来工作可探索：（1）浏览器厂商在Permissions API中增加风险提示；（2）标准化Service Worker行为遥测格式，供EDR产品消费；（3）利用联邦学习在保护隐私前提下共享恶意通知模板特征

2191 0

蚂蚁金服SOFARegistry之消息总线

基于发布-订阅模式的编程模型。 1.1.1 概念定义对象间的一种一对多的依赖关系，当一个对象的状态发生变化时，所有依赖它的对象都得到通知并自动更新。...，它解耦了观察者模式中订阅方和事件源之间的强依赖关系。...； image.png 0x03 EventCenter 业界消息总线有很多，比如 Android EventBus是一个发布/订阅事件总线框架，基于观察者模式，将事件的接收者和发送者分开，简化了组件之间的通信...3.2.3 Listener列表在观察者模式中，事件源中会维护一个Listener的列表，而且向这个事件源注册的Listener一般只会收到一类事件的通知，如果Listener对多个不同类的事件感兴趣...3.2.4 ArrayListMultimap 顾名思义，com.google.common.collect.ArrayListMultimap 可以在key对应的value中设置一个ArrayList

5833 0

蚂蚁金服SOFARegistry之消息总线

基于发布-订阅模式的编程模型。 1.1.1 概念定义对象间的一种一对多的依赖关系，当一个对象的状态发生变化时，所有依赖它的对象都得到通知并自动更新。...，它解耦了观察者模式中订阅方和事件源之间的强依赖关系。...0x03 EventCenter 业界消息总线有很多，比如 Android EventBus是一个发布/订阅事件总线框架，基于观察者模式，将事件的接收者和发送者分开，简化了组件之间的通信。...3.2.3 Listener列表在观察者模式中，事件源中会维护一个Listener的列表，而且向这个事件源注册的Listener一般只会收到一类事件的通知，如果Listener对多个不同类的事件感兴趣...3.2.4 ArrayListMultimap 顾名思义，com.google.common.collect.ArrayListMultimap 可以在key对应的value中设置一个ArrayList

5551 0

WWDC22 - In App Purchase 更新总结

图片图片 StoreKit messages StoreKit Message API 只支持 iOS 16+，用于开发者在 app 中接收和显示 App Store 消息处理。...，开发者是被动接收，总会因为各种情况（服务器宕机，运营商链路或云服务提供商故障等）导致无法按时接收到 App Store 服务器通知。...而重试的通知可能会出现重复的通知响应，所以开发者可以通过 notificationUUID 字段去重通知。留住订阅者用户需要不断从订阅中获得价值，才会持续地订阅您的 App。...选择接收服务器通知以了解何时由于账单问题而导致订阅续订失败，或使用获取所有订阅状态接口确定订阅是不是由于账单问题而处于计费重试状态。...根据上述信息采取相应措施，例如，您可以在 App 中显示信息或发送电子邮件，提醒订阅者更新他们之前登记的付款方式，并提供其 App Store 帐户中“付款信息”区域的链接。

6.5K9 0

基于 Web 推送通知的浏览器持久化攻击机制与防御体系研究

研究表明，仅依赖用户警惕性无法有效遏制此类攻击，必须从操作系统、浏览器策略与企业安全管理三个层面协同重构“零信任”浏览环境。...一旦用户点击“允许”通知，浏览器会向推送服务（如 Firebase Cloud Messaging 或 Apple Push Notification service）注册一个唯一端点（endpoint...企业安全团队面临双重挑战：一方面需防止员工无意中授权恶意站点；另一方面需在海量合法通知请求中识别异常模式。...（2）现有浏览器与操作系统在通知权限管理上存在哪些安全盲区？（3）如何构建可规模化部署的企业级防御体系？..."请允许通知，以便接收重要更新");Notification.requestPermission().then(permission => {if (permission === "granted")

2271 0

google play配置实时开发者通知

若要使用 Pub/Sub，您需有一个 Google Cloud 项目。...创建主题设置权限添加服务帐号 google-play-developer-notifications@system.gserviceaccount.com，然后授予其 Pub/Sub 发布商的角色...创建 Pub/Sub 订阅传送类型选择推送，并提供一个接收post请求的链接，如下为您的应用启用实时开发者通知如上，填写完主题名称，就可以点击“发送测试通知”，不出意外上面配置的端点网址就收到了...参考 https://developer.android.com/google/play/billing/getting-ready#configure-rtdn https://cloud.google.com

2.2K2 0

（译）Knative：在 Kubernetes 上构建可移植 Serverless 平台

Knative 适时出现 Google 看到这种碎片化的现状，也注意到了开发人员在 Kubernetes 上进行 Function 开发的过程中对通用工具集的需求。...Eventing：让应用或者 Function 发布到或订阅事件流，事件流包括 Google Cloud Pub/Sub 以及 Apache Kafka。...Serving 的自动化范围覆盖了从容器到运行中的 Function 部分。它还提供了容器的快速部署，以及根据进入请求完成扩容到 N 或缩容到 0 的能力支持。...Eventing：把订阅/发布操作进行抽象，简化开发人员工作 Function 的基本存在价值就是用来响应事件。FaaS 项目和受管服务的区别就是事件的接收以及消费方式。...在 Google Cloud 也有很多资料： Knative 概览页面 Knative 博客如果想要知道 riff 项目的信息，官方网站是最好的起步地点。

1.9K2 0

苹果 IAP 新特性之启用服务端到服务端通知

使用服务器到服务器的通知服务虽然是可选的，但建议使用，特别是在跨多个平台提供订阅服务且需要保持订阅记录更新的情况下。...设置服务器后，您可以随时通过在 App Store Connect 中添加服务器 URL 来开始接收通知。将通知与收据验证一起使用可以验证用户的当前订阅状态，并根据该状态为他们提供服务或促销优惠。...配置服务器以接收通知 •在服务器上支持App Transport Security（ATS）。•确定服务器上的 URL 以用于订阅状态更新。...•在App Store Connect中为您的应用程序配置订阅状态URL。接收服务器到服务器的通知 App Store 会通过 HTTP POST 的方式将 JSON 对象传递到您的服务器。...使用最新信息处理事件一旦启用服务器到服务器的通知后，您将获得有关订阅状态的最新信息。处理事件时，请同时使用通知和最新收据： •在您的应用中，通过 App Store 验证最新收据。

1.3K2 0

如何将 Stackdriver 连接到智能家居服务器以进行错误记录

启动时，你可以导航到项目的 Google Cloud 控制台，在抽屉导航的 Stackdriver 部分中选择 Logging 选项： ?...这个接收装置中的日志可以通过 Cloud 发布/订阅发送到你拥有的端点。域名验证在将消息推送到端点之前，你需要验证你自己的域名。...你可以通过 Google Cloud 控制台的 APIs & Services 部分进行注册。 ? 在 Credentials > Domain Verification 下，添加一个域名。...配置发布/订阅使用Google Cloud 发布/订阅，你可以静任务配置为在某些事件上运行，例如，当新日志出现在 Stackdriver 中时，通过添加过滤器你可以限制触发事件的日志类型。...在这里，你可以创建一个连接到 Google Cloud 发布/订阅的主题接收器。这将是你能够在每次出现日志条目时处理事件： ? 在抽屉导航中，打开发布/订阅概述，创建一个新的订阅： ?

2.7K3 0

安卓跟苹果推信技术怎么来实现发送短信技术多呢？《RCS》《IM》

在Android和iOS平台上开发IM应用时，通常会采用云服务和客户端SDK的方式实现消息推送。...例如：GCM/FCM (Google Firebase Cloud Messaging)：对于Android设备，开发者可以使用Google提供的Firebase Cloud Messaging服务，即使应用程序未运行或后台被清理时...，也能接收到推送通知。...APNs (Apple Push Notification Service)：对于iOS设备，则需要利用Apple Push Notification Service来实现实时的消息推送，确保用户即使关闭了应用也能收到新消息提醒...跨平台的IM应用会在服务器端处理不同操作系统之间的兼容性问题，确保消息能够实时、准确地在Android和iOS设备间传输。

2.5K1 0

浅谈iOS和Android后台实时消息推送的原理和区别

当你接收到通知，打开应用，才开始从腾讯服务器接收数据，跟你之前看到通知里内容一样，但却是经由两个不同的通道而来。...另外其实 Android 也有类似 APNS 的 GCM（Google Cloud Message），属于开发者可选，非强制。...在这里，你要寄送的快件儿就是你要发的“消息”，送达房间相当于最终“接收消息的App”，顺丰公司在北京的总站点相当于这里提到的“设备”，送达房间的房间号就相当于这个环节里面提到的“包名”。...iOS应用的推送大部分情况下都要依赖苹果生态提供的APNs（Apple Push Notification Service）服务。 ?...而 Google 不强制的结果就是：没人真正为用户的电池负责。但是， Google 的方案也并非全是悲剧：也因为整个技术方案非强制， Android 的 Apps 在接收到推送后的表现更为灵活。

5.7K4 0

苹果智能炸裂登场：直接GPT-4o加持，全家桶都上生成式AI，Siri脱胎换骨

这些应用可以在设备端运行，超出设备端能力的部分也可以在云上运行。...借助 Apple Intelligence，Siri 能够在苹果和第三方应用中执行数百种新操作。...用户无需创建帐户即可免费访问它，ChatGPT 订阅者可以连接他们的帐户并直接从这些体验中访问付费功能。...当一个群聊特别活跃时，为了帮助用户更好地专注于当前任务，「减少打扰」功能仅展示那些可能需要立即处理的通知，比如从日托中心提前接孩子的紧急短信。...借助 Mac 上的 iPhone 通知功能，用户可以在 Mac 上接收 iPhone 手机的通知，点击通知就能进入对应的应用程序。

5871 0

h5的Notification 、web Push介绍

image: 一个 USVSTring包含要在通知中显示的图像的URL。 data: 您想要与通知相关联的任意数据。这可以是任何数据类型。...以下选项列在最新规范中，但是目前浏览器可能尚未支持，大家可以随时尝试！ silent: 一个 Boolean 指明通知是否应该是无声的,即,不需要发出声音或振动，无论设备设置如何。...第三步，浏览器端接收消息推送，触发push事件并展示浏览器在接收到推送服务器发来的推送后，将其解码并触发一个push事件。...web push实现细节 1、按照上一部分所说，首先进行用户订阅。...service worker后，调用subscribe询问用户是否允许接收通知，如下代码所示： navigator.serviceWorker.register("sw-4.js").then(function

6.7K2 0

点击加载更多

基于iCloud日历的回拨型钓鱼攻击机制与防御对策研究

APP消息推送方案调研

CapCut钓鱼攻击的技术机制与防御策略研究

Google Cloud自动化功能遭滥用，全球3000家企业中招

当浏览器变成“后门”：新型Matrix Push C2攻击席卷全球，国内用户如何守住第一道防线？

新型钓鱼攻击借力日历订阅功能悄然渗透数百万设备

日历订阅机制滥用：新型钓鱼与恶意软件投递渠道分析

基于浏览器通知的无文件C2攻击机制与防御体系研究——以Matrix Push为例

蚂蚁金服SOFARegistry之消息总线

蚂蚁金服SOFARegistry之消息总线

WWDC22 - In App Purchase 更新总结

基于 Web 推送通知的浏览器持久化攻击机制与防御体系研究

google play配置实时开发者通知

（译）Knative：在 Kubernetes 上构建可移植 Serverless 平台

苹果 IAP 新特性之启用服务端到服务端通知

如何将 Stackdriver 连接到智能家居服务器以进行错误记录

安卓跟苹果推信技术怎么来实现发送短信技术多呢？《RCS》《IM》

浅谈iOS和Android后台实时消息推送的原理和区别

苹果智能炸裂登场：直接GPT-4o加持，全家桶都上生成式AI，Siri脱胎换骨

h5的Notification 、web Push介绍

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐