易盾業務風控週報每週呈報值得關注的安全技術和事件,包括但不限於內容安全、移動安全、業務安全和網絡安全,幫助企業提高警惕,規避這些似小實大、影響業務健康發展的安全風險。
1、學習類App監管趨嚴: ×××、網絡遊戲、商業廣告依然存在
2019年1月17日消息 由於學習類APP屢次出現涉黃內容、網遊氾濫等亂象,在去年10月份央視曝光了APP中存在的問題。今年1月16日,央視又對學習類軟件亂象的後續整改情況進行了報道。今日,全國“掃黃打非”辦公室官方微博發佈消息稱,對曝光的問題APP及運營者已經開展覈查。並稱,堅決遏制教育類APP傳播×××低俗信息行爲。
近日,教育部印發《關於嚴禁有害App進入中小學校園的通知》,要求各地要建立學習類App進校園備案審查制度,禁止APP中包含商業廣告,以及公佈學生成績、排名等信息。據悉,通過多部門的聯合調查,15000多個教育類APP被下架,學習類APP存在的亂象逐漸得到遏制。
2、上海市網信辦打擊自媒體亂象,依法註銷“魔都八卦女”賬號
近日,上海市網信辦接網民舉報,微信公衆號“魔都八卦女”(微信號:gh_a68b9d78078c,賬號主體:個人)傳播散佈涉本市某醫學院教授的低俗謠言信息,文內引用大量不堪入目的文字和圖片,引發微信圈羣中大量傳播,造成惡劣社會影響。
據悉,相關謠言系舊聞重炒,早在2017年造謠者已被公安機關依法處置。經覈查,“魔都八卦女”運營者爲一杜姓男子。上週,杜某在該公衆號發佈有關謠言後,在當事方向其指出後,仍拒不撤稿,文章閱讀數超過10萬。鑑於此,上海市網信辦迅速協調相關部門和平臺,依法註銷了該賬號。
上海市市網信辦協調相關部門依法註銷傳播低俗謠言的微信公衆號“魔都八卦女”賬號:“任何網上行爲都須遵守法律法規,具有大衆傳播功能的自媒體尤須恪守社會主義核心價值觀,上海市網信辦將全力依法依規整治打擊自媒體領域的各類亂象,絕不姑息。”
3、Voipo發生嚴重的數據泄露事件:價值數十億美元的客戶資料被曝光
去年11月,一家名爲Voxox的電信企業不慎泄露了一個包含數百萬條短信的數據庫,其中包括了密碼重置和雙因素認證代碼。在安全研究人員曝光之前,其安全漏洞已向***者敞開數月。由於服務器未受保護,本次事件導致數百萬份呼叫日誌和文本消息被泄露。令人驚恐的是,時隔兩月,另一家名叫Voipo通信提供商,又泄露了價值數十億美元的客戶數據。
4、人臉識別解鎖能用照片繞過?華爲、三星、小米、HTC等均上榜
荷蘭消協表示,在過去的一年裏,他們對上百款智能手機配備的人臉識別功能的安全性進行了測試。事實證明,在用來測試的110部智能手機中,有42部可以通過用戶的照片來解鎖。其中,來自三星的Galaxy A7和Galaxy A8、華爲的P20、P20 Lite和P20 Pro、諾基亞的model 3.1和7.1,以及索尼的Experia XZ2和Z2 Compact都存在這樣的問題。
當然,這並不是說來自這些品牌的所有型號的手機都存在這樣的問題。比如,三星的Galaxy S9、S9+和Note 9,以及華爲的Mate 20和Mate 20 Pro就不受影響。另外,iPhone XS Max和iPhone XR的人臉識別也無法通過照片來繞過。
5、7.73 億 Collection #1 數據泄露
據Solidot報道,安全研究員Troy Hunt 披露,上週他被告知一個流行的***論壇正在討論 MEGA 上的一個公開數據集,其容量超過 87GB,包含了 7.73 億電子郵件地址和 2122 萬個唯一密碼。論壇上公開的一個圖像顯示數據集的根文件夾名字叫 Collection #1,因此這一次的數據泄露被稱爲 Collection #1。Hunt 稱,他檢查了這個數據集,發現自己的電郵地址和舊密碼都在裏面,而且是正確的,幸運的是密碼已經不再使用。用戶可以訪問他的 Have I Been Pwned 服務,看看自己的信息是否遭到泄露。該數據集已經被刪除,但根據論壇的討論數據已經廣泛流傳。
6、國家計算機病毒應急處理中心監測發現十款違法移動應用
@新華視點 1月17日消息,國家計算機病毒應急處理中心近日監測發現,十款違法有害移動應用存在於移動應用發佈平臺中,其主要危害涉及惡意扣費、隱私竊取、惡意傳播、誘騙欺詐和流氓行爲五類。
這些違法有害移動應用具體如下:
1.《正中靶心》(版本1.0)這一款移動應用存在扣費惡意代碼,通過隱蔽等手段,導致用戶經濟損失。
2.《高效辦公軟件》(版本2.0.0)這一款移動應用存在危險行爲代碼,警惕該軟件私發短信定製扣費業務,泄露用戶隱私。
3.《寶石大消除》(版本2.4.2)、《聚看影視》(版本18.11.11.123)這兩款移動應用在用戶不知情的情況下,私自撥打電話、發送短信等,造成用戶流量消耗和資費損失。
4.《青青草視頻在線》(版本5.4.9)這一款移動應用存在誘騙欺詐行爲,可能會彈出積分牆廣告,強制要求用戶完成推廣應用下載任務纔可以正常使用,給用戶帶來嚴重干擾。
5.《星星蘋果消消樂》(版本5.12.20)、《互動第一課堂》(版本2.4.4)、《開火車》(版本1.4)、《地域邊境》(版本6.3.24)、《開心消消樂2016》(版本V1.0)這五款移動應用存在危險行爲代碼,嚴重干擾移動設備正常使用。
針對上述情況,國家計算機病毒應急處理中心提醒廣大手機用戶不要下載這些違法有害移動應用,避免手機操作系統受到不必要的安全威脅。同時建議打開手機中防病毒移動應用的“實時監控”功能,對手機操作進行主動防禦,這樣可以第一時間監控未知病毒的***活動。
7、手機APP越界索權亟須根治
手機APP越界索權的問題再次受到關注。近日,在使用個人所得稅APP申報個稅時,個別地方出現申報人“被就職”現象,即在“任職受僱信息”中,申報人供職於完全沒有聽過的企業或單位。不少人認爲,自己的身份信息可能被盜用,從而導致“任職受僱信息”出現異常。
伴隨着移動互聯網給人們帶來極大便利的同時,個人信息的不當擴散與不當利用,已逐漸發展成爲危害公民民事權利的社會問題。2018年8月29日,中消協發佈《APP個人信息泄露情況調查報告》指出,手機APP過度採集個人信息呈現普遍趨勢。最突出的是獲取位置信息和訪問聯繫人權限。比如,一些APP在自身功能使用非必要的情況下獲取用戶隱私權限,增加了個人信息泄露的風險。
對手機應用軟件越界索權治理,一則,依法懲治是根本;二則,需要行業的守法自覺;三則,構建起分類保護體系;最後,個人應加強防範意識。
8、Twitter部分用戶私密消息被公開
據美國科技媒體TechCrunch 報道,Twitter昨日表示,Android 版本應用的漏洞導致某些用戶的“受保護”消息被公開。據悉,在開啓“保護你的Twitter 消息”時,他們對賬號設置所做的某些調整可能引發問題。更爲嚴重的是,該問題從2014年11月3日就存在。由於問題出現的時間過長,導致目前無法確定受影響的用戶規模有多大。
實際上,在去年5月份,Twitter 就發現了一個有關加密密碼的bug。隨即,Twitter 向所有用戶發出警告,要求用戶及時修改密碼,並修改使用相同密碼其他網站的賬號密碼。可見,Twitter 出現漏洞已不是第一次。
其實,私密消息被公開這類事件的出現有很大一部分的原因都在於平臺內部的疏忽。首先作爲互聯網企業就應明確自身責任,做好信息保護工作,加強信息安全制度建設,保障用戶的隱私安全。