易盾業務風控週報每週呈報值得關注的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網絡安全,幫助企業提高警惕,規避這些似小實大、影響業務健康發展的安全風險。
1.國家計算機病毒應急處理中心:這十款App存在危險行爲代碼
根據人民日報官方微博的消息,國家計算機病毒應急處理中心近期發現十款違法有害移動應用,主要危害涉及隱私竊取、惡意傳播和流氓行爲三類,手機上安裝有這幾款軟件的用戶請抓緊卸載。
十款違法有害移動應用:
1.《生存戰爭盒子》(版本V 1.5.0)
2.《Dragon Robot》(版本v 1.0)
這兩款App存在危險代碼,直接竊取用戶隱私信息。
3《簡單相機》(版本V 1.00)
4.《抖點短視頻》(版本V 2.3.0)
這兩款移動應用存在惡意代碼,並私自進行傳播。
5.《榮耀奪寶》(版本V 1.15/1.01)
6.《完美女生修圖》(版本V 6.2.2)
7.《再歪一點》(版本V 2.5)
8.《省心文件管理器》(版本V 1.0)
9.《新拼貨》(版本V 3.2)
10.《生日提醒管家》(版本V 2.4)
這六款應用存在危險代碼,捆綁惡意插件。
2.中國互聯網安全標準被國際接納 取得重大進展
9月12日,互聯網域名系統北京市工程研究中心(簡稱域名工程中心,英文縮寫ZDNS)在×××軟件園宣佈,由中國技術人員牽頭起草的互聯網安全標準正式被國際社會接納,成爲互聯網國際技術標準IETF RFC8416。會上還發布了自主開發的域名系統基礎軟件“紅楓”系統、全球運行速度最快的域名服務器,以及首臺國產化域名服務器。這是我國互聯網社區爲國際互聯網技術發展作出的又一貢獻。
3.《王者榮耀》要接入公安數據,進一步限制未成年人玩遊戲
近期,騰訊遊戲、王者榮耀的×××公衆號相繼發佈公告稱,騰訊將升級《王者榮耀》這款遊戲的健康系統,也就是對用戶加強實名制審覈。
新用戶在首次進入《王者榮耀》遊戲時,騰訊將會通過接入“公安權威數據平臺”對用戶的年齡進行校驗,判斷用戶是否未成年人,以便確定是否將此帳號納入到防沉迷體系中。
騰訊沒有解釋“公安權威數據平臺”具體包含哪些數據,但很可能包括人臉數據、×××等配對信息。此前借用×××之類的做法很可能不再可行。
4.×××擬規定互聯網上不得直播錄播拜佛燒香
9月12日,新京報記者從×××獲悉,該局目前在中國政府法制信息網上發佈《互聯網宗教信息管理辦法(徵求意見稿)》,公開向社會徵求意見。辦法擬規定,任何組織或者個人不得在互聯網上直播或者錄播拜佛、燒香等宗教活動。
辦法擬規定,任何組織或者個人不得在互聯網上以文字、圖片、音視頻等方式直播或者錄播拜佛、燒香、受戒、誦經、禮拜、彌撒、受洗等宗教活動。任何組織或者個人不得在互聯網上以宗教名義開展募捐。
5.內容平臺承擔更多責任:扎克伯格表示,FB將阻止干預選舉及傳播虛假信息等行爲
Facebook爲打擊虛假信息和干預行爲,推出如下一些政策:加大檢測力度與反移民、分裂內容審覈;利用自動程序來查找和刪除虛假賬號;將傳播錯誤信息的頁面放在不太明顯的位置,避免讓更多人人看到。除此之外,Facebook努力僱傭額外的1萬名員工來解決安全問題並在可疑活動上增進與執法部門以及其他公司的協調溝通。
6.瑞士數據管理公司 Veeam 泄露 4.45 億條用戶數據
近日,安全研究人員在網上發現了一個公開的數據庫,其中存儲着超過 200 G 的數據,但沒有任何安全防護。200 G 的內容包含瑞士智能數據管理服務商 Veeam 的大量用戶信息,包括姓名、郵箱地址、居住國等。此外,市場份額、用戶類型、企業規模、IP 地址、用戶代理等企業信息也暴露無餘。數據具體暴露的時間尚不清楚,但研究人員表示,自己 9 月 5 日才發現該數據庫,而存儲數據庫的服務器 IP 在 8 月 31 日就已經有人搜索。
7.越來越多的iOS應用收集用戶信息出售獲利
安全研究人員透露,越來越多的iOS應用程序目前收集iPhone用戶的位置數據,WiFi網絡ID和其他數據,並將其出售給廣告公司。此外,還有很多人習慣於收集一些額外的設備數據,如加速度計信息,IDFA廣告標識符,電池電量,蜂窩網絡信息,GPS高度和/或速度,以及位置到達/離開時間戳。收集此類數據對於大多數被發現的應用程序來說是合理的,因爲它們發現它們要求獲得許可並確實有正當理由,問題在於它們都不會讓用戶知道他們的數據將分享獲益。
8.趨勢科技旗下的軟件收集用戶數據 以改進產品和服務
安全公司趨勢科技旗下的軟件 Dr Cleaner、Dr Cleaner Pro、Dr. Antivirus、Dr. Unarchiver、Dr. Battery 和 Duplicate Finder 被發現會收集用戶的瀏覽歷史並上傳到其服務器上,蘋果已經從其應用商店下架了相關應用。該公司發表聲明稱它的數據收集是一次性的,只限於安裝前的 24 小時。它稱數據收集是出於安全目的,分析用戶是否最近遭遇過廣告軟件或其它威脅,以改進其產品和服務。它聲稱最終用戶許可協議內包含了這些數據收集條款。當然我們都知道作爲用戶我們是不會去看 EULA。可能是面臨的壓力太大,趨勢隨後又宣佈移除所有數據收集功能,刪除所有保存的用戶瀏覽歷史記錄。
9.英國航空公司數據泄露事件:38萬人受影響
號稱“世界上最受歡迎的航空公司”——英國航空公司,近日發佈聲明稱出現嚴重的數據泄露事件。
聲明中表示,在2018年8月21日至9月5日期間,所有通過其網站以及移動App上購買機票的用戶信息均遭到泄露,人數多達380000人,泄露內容包括用戶個人詳細信息以及相關信用卡號碼。