行业新闻
移动应用安全合规动态:23年1867款App侵犯用户权益被通报;多项个人信息标准发布;Apple将发新SDK政策(第1期)

一、监管部门动向:


多个国家部委年度会议召开;“数据要素×”3年计划公布;北京网信办公布数据出境最新数据;多项个人信息类标准发布;


二、安全新闻: 多家银行因信息安全问题被金管局处罚;多家公司因不履行网络安全保护义务被北京公安局处罚;谷歌将取消COOKIE;苹果将发布SDK政策。三、漏洞播报: 多个iOS、Android被曝光四、移动应用市场宏观情况: 1月1日-1月19日期间 Android与iOS TOP10漏洞类型曝光。23年共1867款App因侵犯用户权益被通报批评。


监管部门动向*

 

2023年度国家网络与信息安全信息通报工作总结会议在京召开*

会议全面总结了2023年度国家网络与信息安全信息通报工作,深刻分析当前网络安全保护工作形势任务,总结交流优秀经验做法,研究部署2024年度国家网络与信息安全信息通报重点工作。


《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》已落实*

国家互联网信息办公室、香港特别行政区政府创新科技及工业局正式发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》。


 家数据局等部门公布《“数据要素×”三年行动计划(2024—2026年)》*

国家数据局4日发布消息,国家数据局等17部门近日联合印发《“数据要素×”三年行动计划(2024—2026年)》,旨在充分发挥数据要素乘数效应,赋能经济社会发展。

 

1月3日至1月4日 全国网信办主任会议在北京召开*

会议回顾总结2023年网络安全和信息化工作,研究谋划2024年工作。中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文出席会议并讲话。中央网信办副主任、国家网信办副主任牛一兵主持会议。


互联网医疗健康移动应用软件(APP)个人信息保护技术要求》、《儿童智能手表个人信息和权益保护指南》发布****

工业和信息化部批准发布YD/T 4538-2023《互联网医疗健康移动应用软件(APP)个人信息保护技术要求》。该行业标准由中国信通院云大所牵头。 为积极保护儿童个人信息、保障儿童网络权益, 中国电子技术标准化研究院联合企业 共同编写的T/CCIA 003—2022《儿童智能手表个人信息和权益保护指南》。*


北京网信办发布数据出境安全评估及标准合同实施情况,39家单位通过评估!*

已有117家在京企事业单位正式提交数据出境安全评估申报材料,包括小米、联想、京东、美团、奔驰、宝马、苹果等国内国际知名企业。其中奥迪汽车、三星中国、葛兰素史克等45家单位的数据出境安全评估申请已被国家网信办受理;施耐德电气、瑞士再保险、联邦快递等39家单位获批通过安全评估。

 

2023年度中国网络安全产业联盟(CCIA)会员大会暨理事会在北京成功召开*

会议审议了联盟2023年工作总结和2024年工作要点,并对2023年度联盟先进会员单位等荣誉进行了颁奖。****

 

第四期移动互联网APP产品安全漏洞技术沙龙成功举办*


中国软件评测中心(工业和信息化部软件与集成电路促进中心)、工业和信息化部网络安全威胁和漏洞信息共享平台移动互联网App产品安全漏洞专业库(CAPPVD漏洞库)举办“第4期移动互联网App产品安全漏洞技术沙龙”。


— — — — — — — — —

安全新闻


北京多家公司因不履行网络安全保护义务被处罚!*

北京市公安局网安部门大力加强网络秩序清理整顿,积极开展网络安全检查,对多家不履行网络安全保护义务的单位依法予以处罚。涉及数据泄漏、弱口令账号、密码爆破、网站篡改。*

 

金融监管总局开年首批罚单公布,3大知名银行因信息风险隐患被罚 三家银行被处罚金额合计达1000万元。*=

是今年以来金融监管总局机关开出的首批罚单。回顾2023年罚单,大额罚单数量明显增多,千万级以上罚单超20张,较2022年翻倍,此外还有两张罚单过亿元。


谷歌宣布将取消COOKIE

谷歌已逐步开始了在Chrome浏览器中清除第三方cookie的行动,并计划到2024年底全面禁用第三方cookie。1月4日,开始对全球1%的Chrome浏览器用户(约3,000万人)展开了“跟踪保护”功能的测试,以更关注用户隐私的“隐私沙盒(Privacy Sandbox)”取代第三方cookie,从而限制跨站跟踪操作,更好地保护用户的隐私。并称,公司将征求被随机抽取到的用户的意见,询问其“是否想要以更多隐私进行浏览”。


苹果将于春季发布新的SDK政策

当你准备分发 App 时,Xcode 会将 App 使用的所有第三方 SDK 的隐私清单合并为一个简单易用的报告。这个报告内容全面,总结了 App 中的所有第三方 SDK,让你能够更轻松地创建更准确的隐私标签。现在有了 SDK 签名功能,当你在 App 中采用第三方 SDK 的新版本时,Xcode 将验证它是否由同一开发者签名,从而提高软件供应链的完整性。

 

— — — — — — — — —

漏洞播报


微软公布多个安全漏洞

微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞55个,影响到微软产品的其他厂商漏洞1个。包括Microsoft .NET和Microsoft Visual Studio 安全漏洞(CNNVD-202401-741、CVE-2024-0057)、Microsoft Windows Kerberos 安全漏洞(CNNVD-202401-711、CVE-2024-20674)等多个漏洞。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

 

Linux kernel安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核,该漏洞源于异步传输模式(ATM)子系统存在释放后重用漏洞。


IOS权限获取漏洞

简单来说,攻击者可以通过iMessage发送一个恶意附件,应用程序在处理该附件时不会向用户显示任何迹象。该恶意文件利用了一个名为CVE-2023-41990的远程代码执行漏洞,可以在用户打开iMessage时,执行任意代码,最终获得iPhone的最高使用权限以继续执行下一步操作,甚至安装间谍软件。


Android信息泄露漏洞*

Google Android存在信息泄露漏洞,该漏洞是由于蓝牙中的边界检查缺失引起的。攻击者可利用此漏洞获取敏感信息。

 


Android权限漏洞

Google Android存在权限提升漏洞,攻击者可利用此漏洞在系统上获得更高的权限。

 

— — — — — — — — —

移动应用市场情况




1月1日-1月19日 Android漏洞类型TOP10如下图,数量最多的类型为资源文件泄露风险共有5万余个。


1月1日-1月19日iOS漏洞类型TOP10如下图,数量最多的为malloc调用风险。


2023年总计1867款App、SDK因侵犯用户权益被网信办、工信部通报批评,其中娱乐类App占比最高,近400款App被通报批评。


作者:二进制安全初学者
链接:https://juejin.cn/post/7328112725601746994
来源:稀土掘金