移动应用安全合规动态：23年1867款App侵犯用户权益​被通报；多项个人信息标准发布；Apple将发新SDK政策（第1期）

 

 

一、监管部门动向：
       多个国家部委年度会议召开；“数据要素×”3年计划公布；北京网信办公布数据出境最新数据；多项个人信息类标准发布；

 

 

二、安全新闻：多家银行因信息安全问题被金管局处罚；多家公司因不履行网络安全保护义务被北京公安局处罚；谷歌将取消COOKIE；苹果将发布SDK政策。

三、漏洞播报：多个iOS、Android被曝光

四、移动应用市场宏观情况：1月1日-1月19日期间 Android与iOS TOP10漏洞类型曝光。23年共1867款App因侵犯用户权益被通报批

评。

 

 

 

 

 

 

 

监管部门动向

2023年度国家网络与信息安全信息通报工作总结会议在京召开

 

会议全面总结了2023年度国家网络与信息安全信息通报工作，深刻分析当前网络安全保护工作形势任务，总结交流优秀经验做法，研究部署2024年度国家网络与信息安全信息通报重点工作。

https://baijiahao.baidu.com/s?id=1787624755928769012&wfr=spider&for=pc

 

《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》已落实

 

国家互联网信息办公室、香港特别行政区政府创新科技及工业局正式发布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》。http://www.cagd.gov.cn/v/2024/01/4401.htm

 

国家数据局等部门公布《“数据要素×”三年行动计划（2024—2026年）》

 

国家数据局4日发布消息，国家数据局等17部门近日联合印发《“数据要素×”三年行动计划（2024—2026年）》，旨在充分发挥数据要素乘数效应，赋能经济社会发展。

 https://www.gov.cn/zhengce/202312/content_6923330.htm

 

1月3日至1月4日 全国网信办主任会议在北京召开

 

会议回顾总结2023年网络安全和信息化工作，研究谋划2024年工作。中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文出席会议并讲话。中央网信办副主任、国家网信办副主任牛一兵主持会议。

 https://baijiahao.baidu.com/s?id=1787292916024951166&wfr=spider&for=pc

 

《互联网医疗健康移动应用软件（APP）个人信息保护技术要求》、《儿童智能手表个人信息和权益保护指南》发布

 

工业和信息化部批准发布YD/T 4538-2023《互联网医疗健康移动应用软件（APP）个人信息保护技术要求》。该行业标准由中国信通院云大所牵头，爱加密等单位联合研制。为积极保护儿童个人信息、保障儿童网络权益，中国电子技术标准化研究院联合爱加密等企业共同编写的T/CCIA 003—2022《儿童智能手表个人信息和权益保护指南》。爱加密对两项标准进行了深度解读。

 https://mp.weixin.qq.com/s/a2oyFocPuFYgYmGH1CM6tghttps://mp.weixin.qq.com/s/m6daV7VbYsiRksvGZWd-rw

 

北京网信办发布数据出境安全评估及标准合同实施情况,39家单位通过评估！

 

已有117家在京企事业单位正式提交数据出境安全评估申报材料，包括小米、联想、京东、美团、奔驰、宝马、苹果等国内国际知名企业。其中奥迪汽车、三星中国、葛兰素史克等45家单位的数据出境安全评估申请已被国家网信办受理；施耐德电气、瑞士再保险、联邦快递等39家单位获批通过安全评估。

 https://mp.weixin.qq.com/s/846OMbKdpvEfKkdrIJKLOQ

 

2023年度中国网络安全产业联盟（CCIA）会员大会暨理事会在北京成功召开

 

会议审议了联盟2023年工作总结和2024年工作要点，并对2023年度联盟先进会员单位等荣誉进行了颁奖，爱加密获评“2023年度先进会员单位”。

 https://mp.weixin.qq.com/s/7qcq77JZtd7DDUvOKRD4hQ

 

第四期移动互联网APP产品安全漏洞技术沙龙成功举办

 

中国软件评测中心（工业和信息化部软件与集成电路促进中心）、工业和信息化部网络安全威胁和漏洞信息共享平台移动互联网App产品安全漏洞专业库（CAPPVD漏洞库）举办“第4期移动互联网App产品安全漏洞技术沙龙”。爱加密受邀参会并成功获得技术支撑单位证书。

 https://mp.weixin.qq.com/s/kUTuo-Zfh4u14TPJaufrWQ

 

 

安全新闻

北京多家公司因不履行网络安全保护义务被处罚！

 

北京市公安局网安部门大力加强网络秩序清理整顿，积极开展网络安全检查，对多家不履行网络安全保护义务的单位依法予以处罚。涉及数据泄漏、弱口令账号、密码爆破、网站篡改。

 https://mp.weixin.qq.com/s/Lnk1vIu1ritfGfM9HbXL5A

 

金融监管总局开年首批罚单公布，3大知名银行因信息风险隐患被罚

 

三家银行被处罚金额合计达1000万元。是今年以来金融监管总局机关开出的首批罚单。回顾2023年罚单，大额罚单数量明显增多，千万级以上罚单超20张，较2022年翻倍，此外还有两张罚单过亿元。

 https://baijiahao.baidu.com/s?id=1787339657953475197&wfr=spider&for=pc

 

谷歌宣布将取消COOKIE

 

谷歌已逐步开始了在Chrome浏览器中清除第三方cookie的行动，并计划到2024年底全面禁用第三方cookie。1月4日，开始对全球1%的Chrome浏览器用户（约3,000万人）展开了“跟踪保护”功能的测试，以更关注用户隐私的“隐私沙盒（Privacy Sandbox）”取代第三方cookie，从而限制跨站跟踪操作，更好地保护用户的隐私。并称，公司将征求被随机抽取到的用户的意见，询问其“是否想要以更多隐私进行浏览”。

 https://new.qq.com/rain/a/20240105A06VJO00

 

苹果将于春季发布新的SDK政策

 

当你准备分发 App 时，Xcode 会将 App 使用的所有第三方 SDK 的隐私清单合并为一个简单易用的报告。这个报告内容全面，总结了 App 中的所有第三方 SDK，让你能够更轻松地创建更准确的隐私标签。现在有了 SDK 签名功能，当你在 App 中采用第三方 SDK 的新版本时，Xcode 将验证它是否由同一开发者签名，从而提高软件供应链的完整性。

 https://developer.apple.com/cn/support/third-party-SDK-requirements/

 

漏洞播报

微软公布多个安全漏洞

微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞55个，影响到微软产品的其他厂商漏洞1个。包括Microsoft .NET和Microsoft Visual Studio 安全漏洞（CNNVD-202401-741、CVE-2024-0057）、Microsoft Windows Kerberos 安全漏洞（CNNVD-202401-711、CVE-2024-20674）等多个漏洞。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

 https://portal.msrc.microsoft.com/zh-cn/security-guidance

 

Linux kernel安全漏洞

 

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核，该漏洞源于异步传输模式（ATM）子系统存在释放后重用漏洞。

 https://www.auscert.org.au/bulletins/ESB-2024.0081

 

IOS权限获取漏洞

 

简单来说，攻击者可以通过iMessage发送一个恶意附件，应用程序在处理该附件时不会向用户显示任何迹象。该恶意文件利用了一个名为CVE-2023-41990的远程代码执行漏洞，可以在用户打开iMessage时，执行任意代码，最终获得iPhone的最高使用权限以继续执行下一步操作，甚至安装间谍软件。

 https://zhuanlan.zhihu.com/p/675186273

 

 Android信息泄露漏洞

 

Google Android存在信息泄露漏洞，该漏洞是由于蓝牙中的边界检查缺失引起的。攻击者可利用此漏洞获取敏感信息。

 https://www.cnvd.org.cn/patchInfo/show/514051 

 

Android权限漏洞

 

Google Android存在权限提升漏洞，攻击者可利用此漏洞在系统上获得更高的权限。

 https://www.cnvd.org.cn/flaw/show/CNVD-2024-01363

 

移动市场情况

爱加密长期基于安全检测引擎，对应用进行107项漏洞扫描后存入爱加密大数据平台，周报中仅披露部分数据，可于爱加密大数据平台中查看更多应用市场宏观情况、恶意软件情况、历史通报情况等信息。本期仅披露漏洞情况、个人信息违规通报情况，1月1日-1月19日 Android漏洞类型TOP10如下图，数量最多的类型为资源文件泄露风险共有5万余个。

1月1日-1月19日iOS漏洞类型TOP10如下图，数量最多的为malloc调用风险。

2023年总计1867款App、SDK因侵犯用户权益被网信办、工信部通报批评，其中娱乐类App占比最高，近400款App被通报批评。更多数据可见爱加密大数据平台。

作为国内知名的移动信息安全综合服务提供商，爱加密已覆盖政企、运营商、金融、医疗、教育、能源等多个行业的安全业务场景。致力于为客户提供全方位、一站式的移动安全全生命周期解决方案。时刻关注我国的移动应用安全发展状况，致力于通过优质的核心技术，从行业实践角度着手大力推动我国移动应用生态的良好发展。

 

END

欢迎给我们留言或评论~

我们将持续发布技术解读、解决方案、行业报告

点击关注，不错过下次精彩内容