一、监管部门动向:國(guó)家互联网信息办(bàn)公(gōng)室公(gōng)布《促进和规范数据跨境流动规定》;
工(gōng)信部发布《关于网络安(ān)全保险典型服務(wù)方案目录的公(gōng)示》
二、安(ān)全新(xīn)闻:恶意软件警报!黑客利用(yòng)软件即服務(wù)攻击印度安(ān)卓用(yòng)户;Cerberus银行恶意软件的虚假Chrome更新(xīn)
三、漏洞播报:现代CPU架构存在安(ān)全漏洞(CVE-2024-2193); Chrome 123、Firefox 124修补程序严重漏洞
四、移动应用(yòng)市场宏观情况:3月1日-3月31日期间,安(ān)卓高危漏洞数量约25万,抽查约2万APP进行个人信息合规检测,其中(zhōng)不合规的约3千。
——
监管部门动向
國(guó)家互联网信息办(bàn)公(gōng)室公(gōng)布《促进和规范数据跨境流动规定》
3月22日,國(guó)家互联网信息办(bàn)公(gōng)室公(gōng)布《一、监管部门动向:國(guó)家互联网信息办(bàn)公(gōng)室公(gōng)布《促进和规范数据跨境流动规定》;
工(gōng)信部发布《关于网络安(ān)全保险典型服務(wù)方案目录的公(gōng)示》
二、安(ān)全新(xīn)闻:恶意软件警报!黑客利用(yòng)软件即服務(wù)攻击印度安(ān)卓用(yòng)户;Cerberus银行恶意软件的虚假Chrome更新(xīn)
三、漏洞播报:现代CPU架构存在安(ān)全漏洞(CVE-2024-2193); Chrome 123、Firefox 124修补程序严重漏洞
四、移动应用(yòng)市场宏观情况:3月1日-3月31日期间,安(ān)卓高危漏洞数量约25万,抽查约2万APP进行个人信息合规检测,其中(zhōng)不合规的约3千。促进和规范数据跨境流动规定》(以下简称“《规定》”)。《规定》中(zhōng)提到明确重要数据出境安(ān)全评估申报标准,明确免予申报数据出境安(ān)全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件,调整应当申报数据出境安(ān)全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件,延長(cháng)数据出境安(ān)全评估结果有(yǒu)效期,增加数据处理(lǐ)者可(kě)以申请延長(cháng)评估结果有(yǒu)效期的规定。
爱加密已对《规定》进行解读,可(kě)点击下图跳转查看,爱加密拥有(yǒu)完善的数据流动安(ān)全方案,可(kě)降低数据流动环节合规风险。
https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm
工(gōng)信部发布《关于网络安(ān)全保险典型服務(wù)方案目录的公(gōng)示》
3月18日,工(gōng)业和信息化部官网公(gōng)布《关于网络安(ān)全保险典型服務(wù)方案目录的公(gōng)示》。本批公(gōng)示的方案共49件,包括36件企业类方案和13件产(chǎn)品服務(wù)类方案。(来源:工(gōng)业和信息化部)
https://www.miit.gov.cn/jgsj/waj/gzdt/art/2024/art_987a9a6576054903b96c96864014ea0f.html
國(guó)家互联网信息办(bàn)公(gōng)室发布《数据出境安(ān)全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》
3月22日,為(wèi)了指导和帮助数据处理(lǐ)者规范有(yǒu)序申报数据出境安(ān)全评估、备案个人信息出境标准合同,國(guó)家互联网信息办(bàn)公(gōng)室编制了《数据出境安(ān)全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》,对申报数据出境安(ān)全评估、备案个人信息出境标准合同的方式、流程和材料等具(jù)體(tǐ)要求作(zuò)出了说明,对数据处理(lǐ)者需要提交的相关材料进行了优化简化。
https://mp.weixin.qq.com/s/gtfMdhK2mrrNvssuqL8xgA
國(guó)家金融监督管理(lǐ)总局就《银行保险机构数据安(ān)全管理(lǐ)办(bàn)法》公(gōng)开征求意见
3月22日,為(wèi)规范银行保险机构数据处理(lǐ)活动,保障数据安(ān)全,促进数据合理(lǐ)开发利用(yòng),稳步提升金融服務(wù)数字化、智能(néng)化水平,保护个人和组织的合法权益,國(guó)家金融监督管理(lǐ)总局就《银行保险机构数据安(ān)全管理(lǐ)办(bàn)法(征求意见稿)》(以下简称“《征求意见稿》”)公(gōng)开征求意见,点击图片可(kě)查看针对该文(wén)件的解读。
https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1155853&itemId=951&generaltype=2
南京市数据局就《关于推进数据基础制度建设更好发挥数据要素作(zuò)用(yòng)的实施意见》及相关文(wén)件公(gōng)开征求意见
3月19日,南京市数据局就《关于推进数据基础制度建设更好发挥数据要素作(zuò)用(yòng)的实施意见》(以下简称“《实施意见》”)及相关文(wén)件公(gōng)开征求意见,以加快推进南京市数据基础制度建设,形成数据要素治理(lǐ)新(xīn)格局。《实施意见》提出,主要目标為(wèi)探索建立有(yǒu)利于数据安(ān)全保护、有(yǒu)效利用(yòng)、合规流通的数据产(chǎn)权制度和实现路径,开展试点示范。到2025年,建立健全适用(yòng)于大数据环境下的数据分(fēn)类分(fēn)级安(ān)全保护制度,扩大数据开放和融合应用(yòng),丰富数据产(chǎn)品和数据服務(wù),提高数据要素供给数量和质(zhì)量。
https://www.nanjing.gov.cn/hdjl/zjdc/yjzj/202403/t20240319_4189331.html
——
安(ān)全新(xīn)闻
恶意软件警报!黑客利用(yòng)软件即服務(wù)攻击印度安(ān)卓用(yòng)户
该活动经过精(jīng)心设计,旨在通过伪装(zhuāng)成合法应用(yòng)程序的APK软件包传播恶意软件。一旦安(ān)装(zhuāng),恶意软件的目标是盗窃银行信息,短信以及来自受害者设备的其他(tā)机密数据。
https://cybersecuritynews.com/malware-alert-hackers-android/
Cerberus银行恶意软件:虚假Chrome更新(xīn)
Cerberus伪装(zhuāng)成假Chrome更新(xīn)的银行特洛伊木(mù)马,诱骗移动端用(yòng)户下载看起来像Chrome浏览器更新(xīn)的内容,文(wén)件名(míng)為(wèi)“Chrome_update_[随机版本号].apk”或简单的“Chrome.apk。”Cerberus拥有(yǒu)遠(yuǎn)程访问功能(néng),允许攻击者完全控制受感染的设备。该恶意软件专门窃取财務(wù)信息,例如银行登录凭据和信用(yòng)卡详细信息,。
https://cybersecuritynews.com/beware-of-fake-chrome-update/
恶意软件警报!黑客利用(yòng)软件即服務(wù)攻击印度安(ān)卓用(yòng)户
该活动经过精(jīng)心设计,旨在通过伪装(zhuāng)成合法应用(yòng)程序的APK软件包传播恶意软件。一旦安(ān)装(zhuāng),恶意软件的目标是盗窃银行信息,短信以及来自受害者设备的其他(tā)机密数据。
https://cybersecuritynews.com/malware-alert-hackers-android/
GB/T 43697-2024《数据安(ān)全技(jì )术 数据分(fēn)类分(fēn)级规则》发布
3月21日,全國(guó)网络安(ān)全标准化技(jì )术委员会提出并归口的GB/T 43697-2024《数据安(ān)全技(jì )术 数据分(fēn)类分(fēn)级规则》发布(以下简称“《规则》”)。《规则》规定了数据分(fēn)类分(fēn)级的原则、框架、方法和流程,给出了重要数据识别指南,适用(yòng)于行业领域主管(监管)部门参考制定本行业本领域的数据分(fēn)类分(fēn)级标准规范,也适用(yòng)于各地區(qū)、各部门开展数据分(fēn)类分(fēn)级工(gōng)作(zuò),同时為(wèi)数据处理(lǐ)者进行数据分(fēn)类分(fēn)级提供参考。(来源:全國(guó)网络安(ān)全标准化技(jì )术委员会)
https://www.tc260.org.cn/front/postDetail.html?id=20240321201412
——
漏洞播报
现代CPU架构存在安(ān)全漏洞(CVE-2024-2193)
近日,安(ān)全研究人员发现支持推测执行功能(néng)的现代CPU架构存在名(míng)為(wèi)GhostRace的安(ān)全漏洞(CVE-2024-2193)。攻击者可(kě)利用(yòng)该漏洞,通过分(fēn)支误预测的方式绕过微架构的相关安(ān)全机制,将CPU架构中(zhōng)的无竞争區(qū)域转变為(wèi)推测竞争条件(SRC),进而收集目标设备处理(lǐ)器上的敏感信息。目前,Xen团队已针对该漏洞提供了强化补丁,并在X86架构上添加了新(xīn)的LOCK_HARDEN机制组件,以降低安(ān)全风险。
http://985.so/9xz5n
Chrome 123、Firefox 124修补程序严重漏洞
3月20日,谷歌和Mozilla宣布了针对数十个漏洞的网络浏览器安(ān)全更新(xīn),其中(zhōng)包括一个关键严重性缺陷和多(duō)个高严重性缺陷。浏览器更新(xīn)还解决了Swiftshader、Canvas、Downloads和iOS等组件中(zhōng)的五个中(zhōng)等严重性漏洞,以及iOS中(zhōng)的一个低严重性安(ān)全漏洞。
https://www.securityweek.com/chrome-123-firefox-124-patch-serious-vulnerabilities/
Fortinet FortiClientEMS存在SQL注入漏洞(CVE-2023-48788)
近日,安(ān)全研究人员发现集中(zhōng)式安(ān)全管理(lǐ)解决方案Fortinet FortiClientEMS存在SQL注入漏洞(CVE-2023-48788),未经认证的遠(yuǎn)程攻击者可(kě)向服務(wù)器发出特制的恶意数据,成功利用(yòng)此漏洞可(kě)在目标系统上执行任意命令。漏洞影响7.2.0 <= FortiClientEMS 7.2 < 7.2.3等版本,目前用(yòng)户可(kě)通过版本升级修复上述漏洞。
http://985.so/9xz5p
GitHub Enterprise Server存在命令注入漏洞(CVE-2024-2443)近日,安(ān)全研究人员发现自托管平台GitHub Enterprise Server存在命令注入漏洞(CVE-2024-2443),攻击者可(kě)以在配置 GeoJSON 设置时,通过命令注入获得对实例的SSH访问权限。漏洞影响GitHub Enterprise Server 3.8 < 3.8.17等版本,目前用(yòng)户可(kě)通过版本更新(xīn)修复上述漏洞。
http://985.so/9xz5v
——
移动应用(yòng)市场宏观情况
爱加密長(cháng)期基于安(ān)全检测引擎,对应用(yòng)进行107项漏洞扫描后存入爱加密大数据平台,周报中(zhōng)仅披露部分(fēn)数据,可(kě)于爱加密大数据平台中(zhōng)查看更多(duō)应用(yòng)市场宏观情况、恶意软件情况、历史通报情况等信息。
本期仅披露安(ān)卓高危漏洞数量及个人信息检测情况。3月1日-3月31日期间,Android高危漏洞约25万,存量排名(míng)第一的是StrandHogg漏洞,该漏洞较古老,但仍有(yǒu)大量应用(yòng)未进行针对性修复。
爱加密抽查3月1日-3月31日期间上架及更新(xīn)App约2万款,其中(zhōng)存在个人信息违规的应用(yòng)约3千款,核心违规原因為(wèi)违规收集个人信息。
作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng),爱加密时刻关注我國(guó)的移动应用(yòng)安(ān)全发展状况,致力于通过优质(zhì)的核心技(jì )术服務(wù)监管部门及企业,从行业实践角度着手大力推动我國(guó)移动应用(yòng)生态的良好发展。
END
欢迎给我们留言或评论~
我们将持续发布技(jì )术解读、解决方案、行业报告
点击关注,不错过下次精(jīng)彩内容
京公(gōng)网安(ān)备
11010802025310号