一、监管部门动向:
多个国家部委年度会议召开;“数据要素×”3年计划公布;北京网信办公布数据出境最新数据;多项个人信息类标准发布;
二、安全新闻:多家银行因信息安全问题被金管局处罚;多家公司因不履行网络安全保护义务被北京公安局处罚;谷歌将取消COOKIE;苹果将发布SDK政策。
三、漏洞播报:多个iOS、Android被曝光
四、移动应用市场宏观情况:1月1日-1月19日期间 Android与iOS TOP10漏洞类型曝光。23年共1867款App因侵犯用户权益被通报批
评。
监管部门动向
2023年度国家网络与信息安全信息通报工作总结会议在京召开
会议全面总结了2023年度国家网络与信息安全信息通报工作,深刻分析当前网络安全保护工作形势任务,总结交流优秀经验做法,研究部署2024年度国家网络与信息安全信息通报重点工作。
https://baijiahao.baidu.com/s?id=1787624755928769012&wfr=spider&for=pc
《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》已落实
国家互联网信息办公室、香港特别行政区政府创新科技及工业局正式发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》。http://www.cagd.gov.cn/v/2024/01/4401.htm
国家数据局等部门公布《“数据要素×”三年行动计划(2024—2026年)》
国家数据局4日发布消息,国家数据局等17部门近日联合印发《“数据要素×”三年行动计划(2024—2026年)》,旨在充分发挥数据要素乘数效应,赋能经济社会发展。
https://www.gov.cn/zhengce/202312/content_6923330.htm
1月3日至1月4日 全国网信办主任会议在北京召开
会议回顾总结2023年网络安全和信息化工作,研究谋划2024年工作。中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文出席会议并讲话。中央网信办副主任、国家网信办副主任牛一兵主持会议。
https://baijiahao.baidu.com/s?id=1787292916024951166&wfr=spider&for=pc
《互联网医疗健康移动应用软件(APP)个人信息保护技术要求》、《儿童智能手表个人信息和权益保护指南》发布
工业和信息化部批准发布YD/T 4538-2023《互联网医疗健康移动应用软件(APP)个人信息保护技术要求》。该行业标准由中国信通院云大所牵头,爱加密等单位联合研制。为积极保护儿童个人信息、保障儿童网络权益,中国电子技术标准化研究院联合爱加密等企业共同编写的T/CCIA 003—2022《儿童智能手表个人信息和权益保护指南》。爱加密对两项标准进行了深度解读。
https://mp.weixin.qq.com/s/a2oyFocPuFYgYmGH1CM6tghttps://mp.weixin.qq.com/s/m6daV7VbYsiRksvGZWd-rw
北京网信办发布数据出境安全评估及标准合同实施情况,39家单位通过评估!
已有117家在京企事业单位正式提交数据出境安全评估申报材料,包括小米、联想、京东、美团、奔驰、宝马、苹果等国内国际知名企业。其中奥迪汽车、三星中国、葛兰素史克等45家单位的数据出境安全评估申请已被国家网信办受理;施耐德电气、瑞士再保险、联邦快递等39家单位获批通过安全评估。
https://mp.weixin.qq.com/s/846OMbKdpvEfKkdrIJKLOQ
2023年度中国网络安全产业联盟(CCIA)会员大会暨理事会在北京成功召开
会议审议了联盟2023年工作总结和2024年工作要点,并对2023年度联盟先进会员单位等荣誉进行了颁奖,爱加密获评“2023年度先进会员单位”。
https://mp.weixin.qq.com/s/7qcq77JZtd7DDUvOKRD4hQ
第四期移动互联网APP产品安全漏洞技术沙龙成功举办
中国软件评测中心(工业和信息化部软件与集成电路促进中心)、工业和信息化部网络安全威胁和漏洞信息共享平台移动互联网App产品安全漏洞专业库(CAPPVD漏洞库)举办“第4期移动互联网App产品安全漏洞技术沙龙”。爱加密受邀参会并成功获得技术支撑单位证书。
https://mp.weixin.qq.com/s/kUTuo-Zfh4u14TPJaufrWQ
安全新闻
北京多家公司因不履行网络安全保护义务被处罚!
北京市公安局网安部门大力加强网络秩序清理整顿,积极开展网络安全检查,对多家不履行网络安全保护义务的单位依法予以处罚。涉及数据泄漏、弱口令账号、密码爆破、网站篡改。
https://mp.weixin.qq.com/s/Lnk1vIu1ritfGfM9HbXL5A
金融监管总局开年首批罚单公布,3大知名银行因信息风险隐患被罚
三家银行被处罚金额合计达1000万元。是今年以来金融监管总局机关开出的首批罚单。回顾2023年罚单,大额罚单数量明显增多,千万级以上罚单超20张,较2022年翻倍,此外还有两张罚单过亿元。
https://baijiahao.baidu.com/s?id=1787339657953475197&wfr=spider&for=pc
谷歌宣布将取消COOKIE
谷歌已逐步开始了在Chrome浏览器中清除第三方cookie的行动,并计划到2024年底全面禁用第三方cookie。1月4日,开始对全球1%的Chrome浏览器用户(约3,000万人)展开了“跟踪保护”功能的测试,以更关注用户隐私的“隐私沙盒(Privacy Sandbox)”取代第三方cookie,从而限制跨站跟踪操作,更好地保护用户的隐私。并称,公司将征求被随机抽取到的用户的意见,询问其“是否想要以更多隐私进行浏览”。
https://new.qq.com/rain/a/20240105A06VJO00
苹果将于春季发布新的SDK政策
当你准备分发 App 时,Xcode 会将 App 使用的所有第三方 SDK 的隐私清单合并为一个简单易用的报告。这个报告内容全面,总结了 App 中的所有第三方 SDK,让你能够更轻松地创建更准确的隐私标签。现在有了 SDK 签名功能,当你在 App 中采用第三方 SDK 的新版本时,Xcode 将验证它是否由同一开发者签名,从而提高软件供应链的完整性。
https://developer.apple.com/cn/support/third-party-SDK-requirements/
漏洞播报
微软公布多个安全漏洞
微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞55个,影响到微软产品的其他厂商漏洞1个。包括Microsoft .NET和Microsoft Visual Studio 安全漏洞(CNNVD-202401-741、CVE-2024-0057)、Microsoft Windows Kerberos 安全漏洞(CNNVD-202401-711、CVE-2024-20674)等多个漏洞。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
https://portal.msrc.microsoft.com/zh-cn/security-guidance
Linux kernel安全漏洞
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核,该漏洞源于异步传输模式(ATM)子系统存在释放后重用漏洞。
https://www.auscert.org.au/bulletins/ESB-2024.0081
IOS权限获取漏洞
简单来说,攻击者可以通过iMessage发送一个恶意附件,应用程序在处理该附件时不会向用户显示任何迹象。该恶意文件利用了一个名为CVE-2023-41990的远程代码执行漏洞,可以在用户打开iMessage时,执行任意代码,最终获得iPhone的最高使用权限以继续执行下一步操作,甚至安装间谍软件。
https://zhuanlan.zhihu.com/p/675186273
Android信息泄露漏洞
Google Android存在信息泄露漏洞,该漏洞是由于蓝牙中的边界检查缺失引起的。攻击者可利用此漏洞获取敏感信息。
https://www.cnvd.org.cn/patchInfo/show/514051
Android权限漏洞
Google Android存在权限提升漏洞,攻击者可利用此漏洞在系统上获得更高的权限。
https://www.cnvd.org.cn/flaw/show/CNVD-2024-01363
移动市场情况
爱加密长期基于安全检测引擎,对应用进行107项漏洞扫描后存入爱加密大数据平台,周报中仅披露部分数据,可于爱加密大数据平台中查看更多应用市场宏观情况、恶意软件情况、历史通报情况等信息。本期仅披露漏洞情况、个人信息违规通报情况,1月1日-1月19日 Android漏洞类型TOP10如下图,数量最多的类型为资源文件泄露风险共有5万余个。
1月1日-1月19日iOS漏洞类型TOP10如下图,数量最多的为malloc调用风险。
2023年总计1867款App、SDK因侵犯用户权益被网信办、工信部通报批评,其中娱乐类App占比最高,近400款App被通报批评。更多数据可见爱加密大数据平台。
作为国内知名的移动信息安全综合服务提供商,爱加密已覆盖政企、运营商、金融、医疗、教育、能源等多个行业的安全业务场景。致力于为客户提供全方位、一站式的移动安全全生命周期解决方案。时刻关注我国的移动应用安全发展状况,致力于通过优质的核心技术,从行业实践角度着手大力推动我国移动应用生态的良好发展。
END
欢迎给我们留言或评论~
我们将持续发布技术解读、解决方案、行业报告
点击关注,不错过下次精彩内容