移动应用(yòng)安(ān)全合规动态：23年1867款App侵犯用(yòng)户权益​被通报；多(duō)项个人信息标准发布；Apple将发新(xīn)SDK政策（第1期）

 

 

一、监管部门动向：
       多(duō)个國(guó)家部委年度会议召开；“数据要素×”3年计划公(gōng)布；北京网信办(bàn)公(gōng)布数据出境最新(xīn)数据；多(duō)项个人信息类标准发布；

 

 

二、安(ān)全新(xīn)闻：多(duō)家银行因信息安(ān)全问题被金管局处罚；多(duō)家公(gōng)司因不履行网络安(ān)全保护义務(wù)被北京公(gōng)安(ān)局处罚；谷歌将取消COOKIE；苹果将发布SDK政策。

三、漏洞播报：多(duō)个iOS、Android被曝光

四、移动应用(yòng)市场宏观情况：1月1日-1月19日期间 Android与iOS TOP10漏洞类型曝光。23年共1867款App因侵犯用(yòng)户权益被通报批

评。

 

 

 

 

 

 

 

监管部门动向

2023年度國(guó)家网络与信息安(ān)全信息通报工(gōng)作(zuò)总结会议在京召开

 

会议全面总结了2023年度國(guó)家网络与信息安(ān)全信息通报工(gōng)作(zuò)，深刻分(fēn)析当前网络安(ān)全保护工(gōng)作(zuò)形势任務(wù)，总结交流优秀经验做法，研究部署2024年度國(guó)家网络与信息安(ān)全信息通报重点工(gōng)作(zuò)。

https://baijiahao.baidu.com/s?id=1787624755928769012&wfr=spider&for=pc

 

《粤港澳大湾區(qū)（内地、香港）个人信息跨境流动标准合同实施指引》已落实

 

國(guó)家互联网信息办(bàn)公(gōng)室、香港特别行政區(qū)政府创新(xīn)科(kē)技(jì )及工(gōng)业局正式发布《粤港澳大湾區(qū)（内地、香港）个人信息跨境流动标准合同实施指引》。http://www.cagd.gov.cn/v/2024/01/4401.htm

 

國(guó)家数据局等部门公(gōng)布《“数据要素×”三年行动计划（2024—2026年）》

 

國(guó)家数据局4日发布消息，國(guó)家数据局等17部门近日联合印发《“数据要素×”三年行动计划（2024—2026年）》，旨在充分(fēn)发挥数据要素乘数效应，赋能(néng)经济社会发展。

 https://www.gov.cn/zhengce/202312/content_6923330.htm

 

1月3日至1月4日 全國(guó)网信办(bàn)主任会议在北京召开

 

会议回顾总结2023年网络安(ān)全和信息化工(gōng)作(zuò)，研究谋划2024年工(gōng)作(zuò)。中(zhōng)央宣传部副部長(cháng)、中(zhōng)央网信办(bàn)主任、國(guó)家网信办(bàn)主任庄荣文(wén)出席会议并讲话。中(zhōng)央网信办(bàn)副主任、國(guó)家网信办(bàn)副主任牛一兵主持会议。

 https://baijiahao.baidu.com/s?id=1787292916024951166&wfr=spider&for=pc

 

《互联网医(yī)疗健康移动应用(yòng)软件（APP）个人信息保护技(jì )术要求》、《儿童智能(néng)手表个人信息和权益保护指南》发布

 

工(gōng)业和信息化部批准发布YD/T 4538-2023《互联网医(yī)疗健康移动应用(yòng)软件（APP）个人信息保护技(jì )术要求》。该行业标准由中(zhōng)國(guó)信通院云大所牵头，爱加密等单位联合研制。為(wèi)积极保护儿童个人信息、保障儿童网络权益，中(zhōng)國(guó)電(diàn)子技(jì )术标准化研究院联合爱加密等企业共同编写的T/CCIA 003—2022《儿童智能(néng)手表个人信息和权益保护指南》。爱加密对两项标准进行了深度解读。

 https://mp.weixin.qq.com/s/a2oyFocPuFYgYmGH1CM6tghttps://mp.weixin.qq.com/s/m6daV7VbYsiRksvGZWd-rw

 

北京网信办(bàn)发布数据出境安(ān)全评估及标准合同实施情况,39家单位通过评估！

 

已有(yǒu)117家在京企事业单位正式提交数据出境安(ān)全评估申报材料，包括小(xiǎo)米、联想、京东、美团、奔驰、宝马、苹果等國(guó)内國(guó)际知名(míng)企业。其中(zhōng)奥迪汽車(chē)、三星中(zhōng)國(guó)、葛兰素史克等45家单位的数据出境安(ān)全评估申请已被國(guó)家网信办(bàn)受理(lǐ)；施耐德(dé)電(diàn)气、瑞士再保险、联邦快递等39家单位获批通过安(ān)全评估。

 https://mp.weixin.qq.com/s/846OMbKdpvEfKkdrIJKLOQ

 

2023年度中(zhōng)國(guó)网络安(ān)全产(chǎn)业联盟（CCIA）会员大会暨理(lǐ)事会在北京成功召开

 

会议审议了联盟2023年工(gōng)作(zuò)总结和2024年工(gōng)作(zuò)要点，并对2023年度联盟先进会员单位等荣誉进行了颁奖，爱加密获评“2023年度先进会员单位”。

 https://mp.weixin.qq.com/s/7qcq77JZtd7DDUvOKRD4hQ

 

第四期移动互联网APP产(chǎn)品安(ān)全漏洞技(jì )术沙龙成功举办(bàn)

 

中(zhōng)國(guó)软件评测中(zhōng)心（工(gōng)业和信息化部软件与集成電(diàn)路促进中(zhōng)心）、工(gōng)业和信息化部网络安(ān)全威胁和漏洞信息共享平台移动互联网App产(chǎn)品安(ān)全漏洞专业库（CAPPVD漏洞库）举办(bàn)“第4期移动互联网App产(chǎn)品安(ān)全漏洞技(jì )术沙龙”。爱加密受邀参会并成功获得技(jì )术支撑单位证书。

 https://mp.weixin.qq.com/s/kUTuo-Zfh4u14TPJaufrWQ

 

 

安(ān)全新(xīn)闻

北京多(duō)家公(gōng)司因不履行网络安(ān)全保护义務(wù)被处罚！

 

北京市公(gōng)安(ān)局网安(ān)部门大力加强网络秩序清理(lǐ)整顿，积极开展网络安(ān)全检查，对多(duō)家不履行网络安(ān)全保护义務(wù)的单位依法予以处罚。涉及数据泄漏、弱口令账号、密码爆破、网站篡改。

 https://mp.weixin.qq.com/s/Lnk1vIu1ritfGfM9HbXL5A

 

金融监管总局开年首批罚单公(gōng)布，3大知名(míng)银行因信息风险隐患被罚

 

三家银行被处罚金额合计达1000万元。是今年以来金融监管总局机关开出的首批罚单。回顾2023年罚单，大额罚单数量明显增多(duō)，千万级以上罚单超20张，较2022年翻倍，此外还有(yǒu)两张罚单过亿元。

 https://baijiahao.baidu.com/s?id=1787339657953475197&wfr=spider&for=pc

 

谷歌宣布将取消COOKIE

 

谷歌已逐步开始了在Chrome浏览器中(zhōng)清除第三方cookie的行动，并计划到2024年底全面禁用(yòng)第三方cookie。1月4日，开始对全球1%的Chrome浏览器用(yòng)户（约3,000万人）展开了“跟踪保护”功能(néng)的测试，以更关注用(yòng)户隐私的“隐私沙盒（Privacy Sandbox）”取代第三方cookie，从而限制跨站跟踪操作(zuò)，更好地保护用(yòng)户的隐私。并称，公(gōng)司将征求被随机抽取到的用(yòng)户的意见，询问其“是否想要以更多(duō)隐私进行浏览”。

 https://new.qq.com/rain/a/20240105A06VJO00

 

苹果将于春季发布新(xīn)的SDK政策

 

当你准备分(fēn)发 App 时，Xcode 会将 App 使用(yòng)的所有(yǒu)第三方 SDK 的隐私清单合并為(wèi)一个简单易用(yòng)的报告。这个报告内容全面，总结了 App 中(zhōng)的所有(yǒu)第三方 SDK，让你能(néng)够更轻松地创建更准确的隐私标签。现在有(yǒu)了 SDK 签名(míng)功能(néng)，当你在 App 中(zhōng)采用(yòng)第三方 SDK 的新(xīn)版本时，Xcode 将验证它是否由同一开发者签名(míng)，从而提高软件供应链的完整性。

 https://developer.apple.com/cn/support/third-party-SDK-requirements/

 

漏洞播报

微软公(gōng)布多(duō)个安(ān)全漏洞

微软官方发布了多(duō)个安(ān)全漏洞的公(gōng)告，其中(zhōng)微软产(chǎn)品本身漏洞55个，影响到微软产(chǎn)品的其他(tā)厂商(shāng)漏洞1个。包括Microsoft .NET和Microsoft Visual Studio 安(ān)全漏洞（CNNVD-202401-741、CVE-2024-0057）、Microsoft Windows Kerberos 安(ān)全漏洞（CNNVD-202401-711、CVE-2024-20674）等多(duō)个漏洞。目前，微软官方已经发布了漏洞修复补丁，建议用(yòng)户及时确认是否受到漏洞影响，尽快采取修补措施。

 https://portal.msrc.microsoft.com/zh-cn/security-guidance

 

Linux kernel安(ān)全漏洞

 

Linux kernel是美國(guó)Linux基金会的开源操作(zuò)系统Linux所使用(yòng)的内核，该漏洞源于异步传输模式（ATM）子系统存在释放后重用(yòng)漏洞。

 https://www.auscert.org.au/bulletins/ESB-2024.0081

 

IOS权限获取漏洞

 

简单来说，攻击者可(kě)以通过iMessage发送一个恶意附件，应用(yòng)程序在处理(lǐ)该附件时不会向用(yòng)户显示任何迹象。该恶意文(wén)件利用(yòng)了一个名(míng)為(wèi)CVE-2023-41990的遠(yuǎn)程代码执行漏洞，可(kě)以在用(yòng)户打开iMessage时，执行任意代码，最终获得iPhone的最高使用(yòng)权限以继续执行下一步操作(zuò)，甚至安(ān)装(zhuāng)间谍软件。

 https://zhuanlan.zhihu.com/p/675186273

 

 Android信息泄露漏洞

 

Google Android存在信息泄露漏洞，该漏洞是由于蓝牙中(zhōng)的边界检查缺失引起的。攻击者可(kě)利用(yòng)此漏洞获取敏感信息。

 https://www.cnvd.org.cn/patchInfo/show/514051 

 

Android权限漏洞

 

Google Android存在权限提升漏洞，攻击者可(kě)利用(yòng)此漏洞在系统上获得更高的权限。

 https://www.cnvd.org.cn/flaw/show/CNVD-2024-01363

 

移动市场情况

爱加密長(cháng)期基于安(ān)全检测引擎，对应用(yòng)进行107项漏洞扫描后存入爱加密大数据平台，周报中(zhōng)仅披露部分(fēn)数据，可(kě)于爱加密大数据平台中(zhōng)查看更多(duō)应用(yòng)市场宏观情况、恶意软件情况、历史通报情况等信息。本期仅披露漏洞情况、个人信息违规通报情况，1月1日-1月19日 Android漏洞类型TOP10如下图，数量最多(duō)的类型為(wèi)资源文(wén)件泄露风险共有(yǒu)5万余个。

1月1日-1月19日iOS漏洞类型TOP10如下图，数量最多(duō)的為(wèi)malloc调用(yòng)风险。

2023年总计1867款App、SDK因侵犯用(yòng)户权益被网信办(bàn)、工(gōng)信部通报批评，其中(zhōng)娱乐类App占比最高，近400款App被通报批评。更多(duō)数据可(kě)见爱加密大数据平台。

作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，爱加密已覆盖政企、运营商(shāng)、金融、医(yī)疗、教育、能(néng)源等多(duō)个行业的安(ān)全业務(wù)场景。致力于為(wèi)客户提供全方位、一站式的移动安(ān)全全生命周期解决方案。时刻关注我國(guó)的移动应用(yòng)安(ān)全发展状况，致力于通过优质(zhì)的核心技(jì )术，从行业实践角度着手大力推动我國(guó)移动应用(yòng)生态的良好发展。

 

END

欢迎给我们留言或评论~

我们将持续发布技(jì )术解读、解决方案、行业报告

点击关注，不错过下次精(jīng)彩内容