一、监管部门动向:网信办发布《网络安全事件报告管理办法(征求意见稿)》、《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》;《儿童智能手表个人信息和权益保护指南》爱加密深度参编!
二、安全新闻:苹果'Lockdown Mode'的破解之法被发现;中国某汽车供应链巨头数据泄露!
三、最新漏洞播报:苹果两大零日漏洞影响iPhone、iPad和Mac;Android:未检测到的特洛伊木马扩大了对伊朗银行的攻击;iOS:HomeKit 功能被利用进行安全攻击!
四、移动应用市场宏观情况:近期更新、上新移动应用约1万款,其中生活实用类、办公学习类app占比最高,合计占比约47%
http://www.cac.gov.cn/2023-12/08/c_1703609634347501.htm
国家互联网信息办公室发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》
目前大湾区个人信息跨境流动是监管部门对个人信息跨境流动的核心关注点,此前爱加密已对此进行解读,可见文章:10城进一步明确数据出境要求!深度解读《大湾区跨境个人信息保护要求》
工业和信息化部高度重视用户权益保护工作,近期,我部组织第三方检测机构对群众关注的实用工具、网络游戏等移动互联网应用程序(APP)及第三方软件开发工具包(SDK)进行检查。发现22款APP、SDK存在侵害用户权益行为。
https://wap.miit.gov.cn/xwdt/gxdt/sjdt/art/2023/art_f19e1bb6c86d46aa925e977a9694d8d7.html
为积极保护儿童个人信息、保障儿童权益,由中国网络安全产业联盟归口,CCIA数据安全委员会组织委员单位编制了联盟技术文件《儿童智能手表个人信息和权益保护指南》,旨在帮助儿童智能手表制造者在开发与运营的过程中强化儿童个人信息与权益保护机制。
爱加密长期关注个人信息保护工作,深度参与本标准起草,后续将为大家带来标准解读。
http://www.china-cia.org.cn/home/WorkDetail?id=656d6d250200340d9c4a0d65
二、安全新闻
苹果'Lockdown Mode'的破解之法被发现
Lockdown 旨在为极少数用户提供可选的极端保护。这些用户因其身份或工作性质,可能被极为先进的数字威胁锁定为攻击目标。攻击者可以在模拟用户使用的同时暗箱操作。
https://www.darkreading.com/endpoint-security/apple-lockdown-mode-bypass-subverts-iphone-strongest-security-feature
谷歌云发生未知故障,部分用户丢失近半年数据
谷歌支持论坛近期涌现大量用户反馈,称其谷歌云盘(Google Drive)发生异常,这导致许多用户丢失大量数据。他们的云盘数据被回溯至了今年五月份。
https://www.163.com/dy/article/IKLIBRPO0511A5GF.html
中国汽车供应链巨头出现信息泄露!
某向通用汽车、大众汽车集团、福特销售零部件的中国汽车供应链巨头被攻击,攻击者公布了其财务文件、保密协议、报价文件、技术数据表和内部报告。
https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-on-automotive-giant-yanfeng/
三、最新漏洞播报
苹果两大零日漏洞影响iPhone、iPad和Mac
CVE-2023-42916 和 CVE-2023-42917这两个漏洞是在 WebKit 浏览器引擎中发现的,这两个漏洞允许攻击者通过越界读取弱点访问敏感信息,并通过恶意制作的网页在易受攻击的设备上通过内存损坏漏洞执行任意代码。受影响的苹果设备范围相当广泛,包括:iPhone XS及更高版本、多版本iPad与Mac电脑。
https://www.bleepingcomputer.com/news/apple/apple-fixes-two-new-ios-zero-days-in-emergency-updates/
可通过TestFlight进行部署,恶意键盘能够记录受害者输入的所有内容,并将所有这些信息发送回该活动背后的黑客操作的命令和控制(C&C)服务器。
https://www.certosoftware.com/insights/beware-of-what-you-type-the-rise-of-keyboard-based-iphone-hacking/
iOS:HomeKit 功能被利用进行安全攻击
攻击者试图利用 iPhone 的 HomeKit 功能来利用和感染这些未透露姓名的个人的设备。HomeKit 向量与 NSO Group 的 Pegasus 间谍软件使用的多个漏洞一致。目前无法确认本次攻击中使用的具体间谍软件。
https://www.accessnow.org/spyware-attack-in-serbia/
Android:未检测到的特洛伊木马扩大了对伊朗银行的攻击
Zimperium公布的最新发现包括识别出245种与相同威胁因素相关的新应用程序变体。其中28种变体仍然未被行业标准扫描工具检测到。
https://www.infosecurity-magazine.com/news/android-trojan-attack-iran-banks/
某1亿+安装应用程序出现涉及远程入侵、数据泄露的漏洞
Google AppStore收到了一组漏洞,该漏洞影响了一款名为zCamera的流行相机应用程序。该应用程序的安装量超过1亿,仅iOS版本就有超过 3 万条评论。
https://medium.com/@ostorlab/this-article-is-a-technical-deep-dive-showing-how-a-100m-installation-image-application-can-6343ce8ea076
Apple iOS和iPadOS缓冲区溢出漏洞,该漏洞源于ImageIO中在处理不受信任的输入时出现边界错误,攻击者可利用该漏洞创建一个特制的文件欺骗受害者打开它,引发内存损坏并在目标系统上执行任意代码。Dave Jong(Patchstack)在WordPress Perfmatters插件中发现并报告了此跨站点请求造假(CSRF,Cross Site Request Forgery)漏洞。这可以使攻击者劫持高权限用户并进行操作。此漏洞已在2.1.7版本中修复。
https://patchstack.com/database/vulnerability/perfmatters/wordpress-perfmatters-plugin-2-1-6-multiple-cross-site-request-forgery-csrf-vulnerabilities?_s_id=cve
四、移动应用市场宏观情况
爱加密长期基于安全检测引擎,对应用进行107项漏洞扫描后存入爱加密大数据平台,周报中仅披露部分数据,可于爱加密大数据平台中查看应用市场宏观情况、恶意软件情况、历史通报情况等信息。
本期仅披露应用市场宏观情况,11月27日-12月11日期间共更新、上新移动应用约1万款,其中生活实用类、办公学习类app占比最高,合计占比约47%
11月27日-12月11日期间移动应用高风险漏洞主要分布于广东省及北京市。
作为国内知名的移动信息安全综合服务提供商,爱加密时刻关注我国的移动应用安全发展状况,致力于通过优质的核心技术,从行业实践角度着手大力推动我国移动应用生态的良好发展。
END
爱加密
爱加密是全球专业的移动信息安全服务提供商,专注于移动应用安全、大数据及物联网安全。品牌官网:www.ijiami.cn;服务电话: 4000-618-110