首页> 安全资讯 > 监管部门动向:工信部发布最新一批侵权APP通报;国务院发文再提数据出境;国家标准《移动互联网应用程序

监管部门动向:工信部发布最新一批侵权APP通报;国务院发文再提数据出境;国家标准《移动互联网应用程序

发布时间:2023-12-04

监管部门动向:工信部发布最新一批侵权APP通报;国务院发文再提数据出境;国家标准《移动互联网应用程序(App)软件开发工具包(SDK)安全要求发布!

安全新闻:印度再次流行社工钓鱼活动;大江生医集团暗网泄露236.3GB数据;丹麦关键基础设施遭攻击。漏洞情况:Microsoft发布2023年11月安全更新;页面排版软件、网关应用程序、CPU出现漏洞存量漏洞情况:本周安卓App存量高危漏洞约130000,安卓、iOS TOP10漏洞名单曝光。

一、监管部门动向

工信部:关于侵害用户权益行为的APP(SDK)通报(2023年第7批,总第33批)

 

工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续开展APP侵害用户权益专项整治行动。近期,我部组织第三方检测机构对群众关注的实用工具、在线影音等移动互联网应用程序APP及第三方软件开发工具包(SDK)进行检查。发现13款APP、SDK存在侵害用户权益行为。

 

《信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》

 

GB/T 43435-2023国家标准《信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》由TC260(全国信息安全标准化技术委员会)归口,主管部门为国家标准化管理委员会。已与2023年11月27日发布,起草单位为爱加密、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息通信研究院等机构。后续爱加密将为大家带来改标准的详细解读。

 

国务院:《支持北京深化国家服务业扩大开放综合示范区建设工作方案》

 

国务院于11月23日批复本方案,文中(二)探索新兴业态规则规范 中提出推动建设数据跨境服务中心与技术服务平台,探索提供安全治理、监测审计、体系认证等全链条第三方服务。支持设立跨国机构数据流通服务窗口,以合规服务方式优先实现集团内数据安全合规跨境传输。

 

工信部:《工业和信息化领域数据安全行政处罚裁量指引(试行)》

 

为贯彻落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》,推动工业和信息化领域数据安全行政处罚工作制度化、规范化开展,工信部研究起草了《工业和信息化领域数据安全行政处罚裁量指引(试行)》。

 

北京高院:《侵犯公民个人信息犯罪审判白皮书》

 

2023年11月15日,北京高级人民法院发布了《侵犯公民个人信息犯罪审判白皮书》。随着信息技术的高速发展,个人信息的安全问题得到了社会的广泛关注,据统计,白皮书中透露有近三分之一的案件涉案公民个人信息来源于技术窃取。

二、安全新闻

东亚地区出现新一轮恶意应用程序攻击

现针对印度用户的新一轮网络钓鱼攻击活动。攻击者利用社交媒体平台发送消息,引导安装收集敏感数据的欺诈性应用程序,窃取银行密码等信息。

 

中国台湾大江生医集团暗网泄露236.3GB数据

大江生医股份有限公司是中国台湾地区的企业,全球500强上市公司,成立于1980年,是一家生物整合设计公司,集团下设有四大生产中心,分别坐落在中国台湾、中国上海,以及美国、日本。目前有大江生医、上海百岳特、大江生活、光腾新药、和康生技、沛富生技等多家子公司。

 

Optus母公司新加坡电信否认对网络中断负责

11月8日(当地时间周三),澳大利亚第二大电信公司澳都斯(Optus)发生全国性网络中断,导致数百万客户无法使用电话和互联网服务。Optus是新加坡电信(Singtel)在澳洲的子公司。拥有Optus的新加坡电信集团新加坡电信(Singtel)周四表示,上周三中断了大约1020万用户的互联网和移动接入,原因不是例行升级。

 

丹麦CERT报告全面分析针对该国基础设施的最大规模网络攻击

丹麦非营利性网络安全组织SektorCERT近日发布题为《针对丹麦关键基础设施的攻击》的分析报告,全面分析和总结了2023年5月针对丹麦关键基础设施的广泛网络攻击,并指出具有俄罗斯官方背景的黑客组织“沙虫”可能参与了此次攻击。

 

韩国软件公司泄露超过5000万条敏感信息

遭泄露的信息包括员工姓名、电子邮件和电话号码,员工/雇佣合同编号,各类文件(docx、pdf),发送的二进制文件的元数据(可执行文件名、文件存储路径、版本名称等),员工IP、用户代理和访问内部工具的URL等。这些类型的泄漏尤其有价值,因为它们会泄露大量内部信息,让攻击者能够更好地了解目标和伪造身份。

三、最新漏洞播报

Intel披露Reptar安全漏洞,可绕过CPU安全边界

近日,Intel修复了其现代台式机、服务器、移动和嵌入式CPU中的一个CPU漏洞。攻击者可以利用CVE-2023-23583漏洞提升权限、访问敏感信息或触发拒绝服务状态。https://www.freebuf.com/news/383884.htmlMicrosoft发布2023年11月安全更新1月15日,微软发布了2023年11月份的月度例行安全公告,修复了多款产品存在的63个安全漏洞,影响产品包括Windows11、Windows10、Windows Server 2022、Windows Server 2008和Microsoft Office等。

 

Adobe FrameMaker 安全漏洞(CNNVD-202311-1570)

Adobe FrameMaker 是美国奥多比(Adobe)公司的一套用于编辑大型或复杂文档(包括结构化文档)的页面排版软件。Adobe FrameMaker 2022版本及之前版本存在安全漏洞,该漏洞源于身份验证不正确。攻击者利用该漏洞可以绕过安全检查功能。目前厂商已发布升级补丁以修复漏洞。

 

Microsoft Host Integration Server 安全漏洞 (CNNVD-202311-1065)

Microsoft Host Integration Server 是微软的一个网关应用程序,提供 Microsoft Windows 网络与IBM大型机和IBMi系统之间的连接。提供了对 SNA,3270、5250,CICS,APPC和其他IBM协议的支持。Microsoft Host Integration Server存在安全漏洞。攻击者利用该漏洞可以远程执行代码。目前厂商已发布升级补丁以修复漏洞。

 

Intel One Boot Flash Utility 安全漏洞(CNNVD-202311-1171)

Intel One Boot Flash Utility 是英特尔的一种用于更新系统的 BIOS、BMC、SDR、FRU的程序。Intel One Boot Flash Utility 14.1.31之前版本存在安全漏洞。攻击者利用该漏洞可以提升权限。厂商已发布升级补丁以修复漏洞。

 

存量漏洞统计

 

爱加密长期基于安全检测引擎,对应用进行107项漏洞扫描后存入爱加密大数据平台,周报中仅披露部分数据,可于爱加密大数据平台中查看整体情况、恶意软件情况、历史通报情况等信息。11月13日-11月26日期间安卓、iOS端TOP10风险漏洞如下

安卓应用高危漏洞占比约17%,各应用开发企业应提高安全防护意识,解决漏洞问题,提高应用安全能力。

作为国内知名的移动信息安全综合服务提供商,爱加密时刻关注我国的移动应用安全发展状况,致力于通过优质的核心技术,从行业实践角度着手大力推动我国移动应用个人信息安全保护生态的良好发展。

加入收藏