一、监管部门动向：国家数据局印发《数字社会2024年工作要点》；国家计算机网络应急技术处理协调中心等多个协会发文强调加强个人信息保护。

二、安全新闻：戴尔泄露4900万用户购物数据：疑涉及大量中国用户；10款移动App存在隐私不合规行为被通报。

三、漏洞播报：多个小米安卓设备漏洞让攻击者劫持手机；Google Chrome 安全漏洞（CNNVD-202404-3716）。

四、移动应用市场宏观情况：4月1日-4月30日期间 Android与iOS TOP10漏洞类型曝光，Android数量最多，约计8万个。

 

 

监管部门动向

 

国家标准《网络安全技术 软件产品开源代码安全评价方法》发布

中国国家市场监督管理总局（国家标准化管理委员会）2024年第6号中国国家标准公告，《网络安全技术 软件产品开源代码安全评价方法》国家标准经国家市场监督管理总局（国家标准化管理委员会）批准，于2024年4月25日正式发布，爱加密长期关注开源代码安全，深度参与本标准起草，后续将为大家带来标准解读！

https://std.samr.gov.cn/gb/search/gbDetailed?id=173829859DA71AA5E06397BE0A0AA311

 

国家数据局印发《数字社会2024年工作要点》

近日，国家数据局印发《数字社会2024年工作要点》（以下简称《工作要点》），对2024年数字社会重点工作做出部署。按照《数字中国建设整体布局规划》和“十四五”规划关于推进数字社会建设的重点任务安排，《工作要点》围绕促进数字公共服务普惠化、推进数字社会治理精准化、深化智慧城市建设、推动数字城乡融合发展、着力构筑美好数字生活等5个方面部署重点任务。下一步，国家数据局将会同有关单位抓好各项任务落实，为广大人民群众构建智能便捷友好的数字社会空间、提供丰富优质普惠的数字公共服务，不断增强人民群众的获得感、幸福感、安全感。

https://mp.weixin.qq.com/s/IWQbMX9QGKjFv3BxEgtDGg

国家计算机网络应急技术处理协调中心发布《关于汽车数据处理4项安全要求检测情况的通报（第一批）》

4月28日，为规范汽车数据处理活动，保障用户合法权益，鼓励头部汽车制造商发挥标杆作用，推动形成全社会共同维护汽车数据安全和促进汽车行业发展的良好环境，中国汽车工业协会、国家计算机网络应急技术处理协调中心依据法规标准有关规定，按照企业自愿送检原则，发布《关于汽车数据处理4项安全要求检测情况的通报（第一批）》，公示自2023年11月起组织的对汽车制造商2022-2023年度新上市智能网联汽车数据安全合规情况（车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理、处理个人信息显著告知等4项合规要求）的检测结果。

www.caam.org.cn/chn/1/cate_2/con_5236385.html 

 

 

安全新闻

 

4900万用户购物数据泄露：疑涉及大量中国用户

一位威胁行为者声称，已窃取了约4900万名知名PC制造商客户的信息。随后，企业向客户发布了数据泄露警告。企业表示，威胁行为者在入侵期间访问了以下信息：姓名、收件地址以及硬件和订单信息，包括服务标签、物品描述、订单日期和相关保修信息。企业强调，被盗信息不包括财务或支付信息、电子邮件地址或电话号码。

https://www.secrss.com/articles/65996

 

10款移动App存在隐私不合规行为被通报

国家计算机病毒应急处理中心近期通过互联网监测发现10款移动App存在如下一些隐私不合规行为：在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则，或以默认选择同意隐私政策等非明示方式征求用户同意；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：个人信息处理者的名称或者姓名和联系方式；个人信息的处理目的、处理方式，处理个人信息的种类、保存期限；未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制；个人信息处理者未提供便捷的撤回同意的方式；个人撤回同意，影响撤回前基于个人同意已进行的个人信息处理活动的效力；个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则。

https://www.thepaper.cn/newsDetail_forward_27214904

DNS 流量可能会泄漏到 Android 上的 VPN 隧道之外

最近获悉 Android 上存在多个潜在的 DNS 泄漏问题。它们源于 Android 本身的错误，并且只影响某些应用程序。确认这些泄漏发生在多个版本的 Android 中，包括最新版本 (Android 14)。Android 操作系统可能泄漏 DNS 流量的已识别场景：

• 如果 VPN 处于活动状态且未配置任何 DNS 服务器。

• 当 VPN 应用程序重新配置隧道或被强制停止/崩溃时的一小段时间。

https://mullvad.net/en/blog/dns-traffic-can-leak-outside-the-vpn-tunnel-on-android

 

 

 

漏洞播报

 

多个小米安卓设备漏洞让攻击者劫持手机

移动安全公司Oversered披露了这些漏洞，发现了20个影响小米广泛应用程序和系统组件的关键缺陷。这些漏洞可能会让黑客访问存储在设备上的敏感信息，包括个人数据、财务信息和其他机密信息。如果利用这些缺陷，攻击者可能会接管设备、注入恶意代码或从设备内存中窃取数据。

https://cybersecuritynews.com/multiple-xiaomi-android-devices-flaw/

 

Google Chrome 安全漏洞（CNNVD-202404-3716）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome 124.0.6367.118之前版本（Linux）、124.0.6367.118/.119之前版本（Windows、Mac）存在安全漏洞，该漏洞源于内存释放后重用导致。远程攻击者利用该漏洞通过特制的HTML页面可导致堆损坏。

https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop_30.html

WordPress响应式主题中存在安全漏洞

4月23日，据媒体网站Cyber Security News报道，WordPress响应式主题中存在一个安全漏洞（CVE-2024-2848），允许攻击者将任意HTML内容注入网站，对网站的完整性和用户安全构成严重风险。该漏洞是在响应式主题页脚部分发现的，是由于save_footer_text_callback缺少功能检查所导致，攻击者可以在未经授权的情况下且无需身份验证修改页脚文本。目前，用户可通过版本升级（5.0.3或更高版本）修复该漏洞。

http://985.so/94m1f

 

Progress Flowmon中存在安全漏洞

4月24日，据媒体网站BleepingComputer报道，Progress Flowmon产品存在一个安全漏洞（CVE-2024-2389）。攻击者可利用该漏洞使用特制的API请求，获得对Flowmon Web界面的未经身份验证的远程访问，并执行任意系统命令。该漏洞影响v12.x和v11.x版本，用户可通过版本升级修复漏洞（v12.3.4和11.1.14）。

http://985.so/94mvw

 

 

移动应用市场宏观情况

 

爱加密长期基于安全检测引擎，对应用进行107项漏洞扫描后存入爱加密大数据平台，周报中仅披露部分数据，可于爱加密大数据平台中查看更多应用市场宏观情况、恶意软件情况、历史通报情况等信息。

本期仅披露漏洞情况，4月1日-4月30日Android漏洞类型TOP10如下图，数量最多的类型为“资源文件泄露风险检测”，约8万个。

 

4月1日-4月30日iOS漏洞类型TOP10如下图，数量最多的类型为“外部函数显式调用风险”。

 

作为国内知名的移动信息安全综合服务提供商，爱加密时刻关注我国的移动应用安全发展状况，致力于通过优质的核心技术服务监管部门及企业，从行业实践角度着手大力推动我国移动应用生态的良好发展。

END

欢迎给我们留言或评论~

我们将持续发布技术解读、解决方案、行业报告

点击关注，不错过下次精彩内容