ToB企服应用市场:ToB评测及商务社交产业平台

标题: 移动应用安全合规动态：网信办发布2大重磅文件！《儿童智能手表个人信息和 [打印本页]

作者: 刘俊凯 时间: 2024-9-6 01:04
标题: 移动应用安全合规动态：网信办发布2大重磅文件！《儿童智能手表个人信息和

一、监管部门动向：网信办发布《网络安全变乱报告管理办法（征求意见稿）》、《粤港澳大湾区（当地、香港）个人信息跨境流动尺度合同实施指引》；《儿童智能手表个人信息和权益掩护指南》爱加密深度参编！
二、安全消息：苹果'Lockdown Mode'的破解之法被发现；中国某汽车供应链巨头数据泄漏！
三、最新漏洞播报：苹果两大零日漏洞影响iPhone、iPad和Mac；Android：未检测到的特洛伊木马扩大了对伊朗银行的攻击；iOS：HomeKit 功能被使用进行安全攻击！
四、移动应用市场宏观环境：近期更新、上新移动应用约1万款，其中生存实用类、办公学习类app占比最高，合计占比约47%

一、监管部门动向

国家互联网信息办公室发布《网络安全变乱报告管理办法（征求意见稿）》

规定运营者在发生网络安全变乱时，应当及时启动应急预案进行处置。按照《网络安全变乱分级指南》，属于较大、重大或特别重大网络安全变乱的，应当于1小时内进行报告。差别身份的运营者报告路径差别，乙方与个人拥有提示义务。

http://www.cac.gov.cn/2023-12/08/c_1703609634347501.htm

国家互联网信息办公室发布《粤港澳大湾区（当地、香港）个人信息跨境流动尺度合同实施指引》
为落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局　关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境尺度合同并构造实施，加强个人信息跨境尺度合同备案管理”的合作步调，国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区（当地、香港）个人信息跨境流动尺度合同实施指引》

现在大湾区个人信息跨境流动是监管部门对个人信息跨境流动的核心关注点，此前爱加密已对此进行解读，可见文章：10城进一步明确数据出境要求！深度解读《大湾区跨境个人信息掩护要求》

关于侵害用户权益举动的APP（SDK）转达（2023年第8批，总第34批）

工业和信息化部高度重视用户权益掩护工作，近期，我部构造第三方检测机构对群众关注的实用工具、网络游戏等移动互联网应用程序（APP）及第三方软件开发工具包（SDK）进行查抄。发现22款APP、SDK存在侵害用户权益举动。

《儿童智能手表个人信息和权益掩护指南》发布！

为积极掩护儿童个人信息、保障儿童权益，由中国网络安全财产联盟归口，CCIA数据安全委员会构造委员单位体例了联盟技术文件《儿童智能手表个人信息和权益掩护指南》，旨在资助儿童智能手表制造者在开发与运营的过程中强化儿童个人信息与权益掩护机制。
爱加密恒久关注个人信息掩护工作，深度参与本尺度草拟，后续将为大家带来尺度解读。

二、安全消息
苹果'Lockdown Mode'的破解之法被发现
Lockdown 旨在为少少数用户提供可选的极度掩护。这些用户因其身份或工作性质，可能被极为先辈的数字威胁锁定为攻击目标。攻击者可以在模拟用户使用的同时暗箱操纵。

谷歌云发生未知故障，部分用户丢失近半年数据
谷歌支持论坛近期涌现大量用户反馈，称其谷歌云盘（Google Drive）发生异常，这导致许多用户丢失大量数据。他们的云盘数据被回溯至了本年五月份。

中国汽车供应链巨头出现信息泄漏！
某向通用汽车、大众汽车集团、福特销售零部件的中国汽车供应链巨头被攻击，攻击者公布了其财务文件、保密协议、报价文件、技术数据表和内部报告。

三、最新漏洞播报
苹果两大零日漏洞影响iPhone、iPad和Mac
CVE-2023-42916 和 CVE-2023-42917这两个漏洞是在 WebKit 浏览器引擎中发现的，这两个漏洞允许攻击者通过越界读取缺点访问敏感信息，并通过恶意制作的网页在易受攻击的设备上通过内存损坏漏洞执行恣意代码。受影响的苹果设备范围相当广泛，包括：iPhone XS及更高版本、多版本iPad与Mac电脑。

iOS：黑客基于输入法发起攻击，可回传所有输入信息

可通过TestFlight进行部署，恶意键盘可以或许记录受害者输入的所有内容，并将所有这些信息发送回该运动背后的黑客操纵的下令和控制(C&C)服务器。

iOS：HomeKit 功能被使用进行安全攻击
攻击者试图使用 iPhone 的 HomeKit 功能来使用和感染这些未透露姓名的个人的设备。HomeKit 向量与 NSO Group 的 Pegasus 特工软件使用的多个漏洞一致。现在无法确认本次攻击中使用的具体特工软件。

Android：未检测到的特洛伊木马扩大了对伊朗银行的攻击
Zimperium公布的最新发现包括辨认出245种与相同威胁因素相干的新应用程序变体。其中28种变体仍然未被行业尺度扫描工具检测到。

某1亿+安装应用程序出现涉及长途入侵、数据泄漏的漏洞
Google AppStore收到了一组漏洞，该漏洞影响了一款名为zCamera的流行相机应用程序。该应用程序的安装量超过1亿，仅iOS版本就有超过 3 万条批评。

Apple iOS和iPadOS缓冲区溢出漏洞

Apple iOS和iPadOS缓冲区溢出漏洞，该漏洞源于ImageIO中在处理不受信托的输入时出现界限错误，攻击者可使用该漏洞创建一个特制的文件欺骗受害者打开它，引发内存损坏并在目标系统上执行恣意代码。Dave Jong（Patchstack）在WordPress Perfmatters插件中发现并报告了此跨站点请求造假（CSRF，Cross Site Request Forgery）漏洞。这可以使攻击者挟制高权限用户并进行操纵。此漏洞已在2.1.7版本中修复。

四、移动应用市场宏观环境
爱加密恒久基于安全检测引擎，对应用进行107项漏洞扫描后存入爱加密大数据平台，周报中仅披露部分数据，可于爱加密大数据平台中检察应用市场宏观环境、恶意软件环境、历史转达环境等信息。
本期仅披露应用市场宏观环境，11月27日-12月11日期间共更新、上新移动应用约1万款，其中生存实用类、办公学习类app占比最高，合计占比约47%

11月27日-12月11日期间移动应用高风险漏洞主要分布于广东省及北京市。
作为国内知名的移动信息安全综合服务提供商，爱加密时刻关注我国的移动应用安全发展状况，致力于通过优质的核心技术，从行业实践角度着手大力推动我国移动应用生态的良好发展。
END

欢迎给我们留言或批评~

我们将持续发布技术解读、办理方案、行业报告

点击关注，不错过下次精彩内容

爱加密

爱加密是环球专业的移动信息安全服务提供商,专注于移动应用安全、大数据及物联网安全。品牌官网：www.ijiami.cn；服务电话： 4000-618-110

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)