一、监管部门动向：全國(guó)网安(ān)标委就《网络安(ān)全技(jì )术 网络安(ān)全运维实施指南》等3项國(guó)家标准征求意见；中(zhōng)國(guó)社会科(kē)學(xué)院法學(xué)研究所等发布《人工(gōng)智能(néng)示范法2.0（专家建议稿）》。

二、安(ān)全新(xīn)闻：Google Firebase泄露1.25亿用(yòng)户机密信息；SoumniBot恶意软件利用(yòng)Android漏洞逃避检测。

三、漏洞播报：Apache Zeppelin 代码注入漏洞（CNNVD-202404-1218）；Aiohttp存在路径遍历漏洞（CVE-2024-23334）。

四、移动应用(yòng)市场宏观情况：4月1日-4月22日期间，监管机构通报Android个人信息违规数量约130，移动应用(yòng)市场共更新(xīn)、上新(xīn)移动应用(yòng)约3万款。

监管部门动向

全國(guó)网安(ān)标委就《网络安(ān)全技(jì )术 网络安(ān)全运维实施指南》等3项國(guó)家标准征求意见

4月15日，全國(guó)网络安(ān)全标准化技(jì )术委员会公(gōng)布《网络安(ān)全技(jì )术 网络安(ān)全运维实施指南》《网络安(ān)全技(jì )术 信息系统灾难恢复规范》《数据安(ān)全技(jì )术 政務(wù)数据处理(lǐ)安(ān)全要求》3项标准的征求意见稿，面向社会公(gōng)开征求意见，意见征求截至2024年6月14日24:00。（来源：全國(guó)网安(ān)标委）

中(zhōng)國(guó)社会科(kē)學(xué)院法學(xué)研究所等发布《人工(gōng)智能(néng)示范法2.0（专家建议稿）》

4月16日，中(zhōng)國(guó)社会科(kē)學(xué)院法學(xué)研究所等发布《人工(gōng)智能(néng)示范法2.0（专家建议稿）》。《人工(gōng)智能(néng)示范法2.0（专家建议稿）》在此前版本的基础上不断更新(xīn)，将基于负面清单实施的人工(gōng)智能(néng)许可(kě)管理(lǐ)制度与负面清单外人工(gōng)智能(néng)活动的备案制度明确區(qū)分(fēn)，避免过重合规负担影响人工(gōng)智能(néng)产(chǎn)业的经营预期；重视人工(gōng)智能(néng)开源发展，提出促进开源社區(qū)建设、制定专门合规指引、明确责任减免规则等支持措施；构建知识产(chǎn)权创新(xīn)规则，在研发环节对训练数据、个人信息的使用(yòng)作(zuò)出专门安(ān)排，并针对人工(gōng)智能(néng)生成物(wù)的成果保护与侵权认定进行规定。（来源：21财经）

安(ān)全新(xīn)闻

 SoumniBot恶意软件利用(yòng)Android漏洞逃避检测

一种名(míng)為(wèi)“SoumniBot”的新(xīn)安(ān)卓银行恶意软件利用(yòng)安(ān)卓清单提取和解析过程中(zhōng)的弱点，使用(yòng)了一种不太常见的混淆方法。该方法使SoumniBot能(néng)够规避安(ān)卓手机中(zhōng)的标准安(ān)全措施，并执行信息窃取操作(zuò)。研究人员还指出，SoumniBot能(néng)够搜索和过滤韩國(guó)银行用(yòng)于网上银行服務(wù)的数字证书。此功能(néng)允许威胁行為(wèi)者利用(yòng)银行凭证进行欺诈交易。

LightSpy卷土重来：更新(xīn)的iOS间谍攻击苹果用(yòng)户的智能(néng)手机

针对南亚用(yòng)户的网络间谍活动再次出现。攻击的目标是用(yòng)户引入新(xīn)版本的LightSpy恶意软件。LightSpy的最新(xīn)版本，称為(wèi)‘F_Warehouse’，具(jù)有(yǒu)模块化结构，具(jù)有(yǒu)高级监视功能(néng)。这场恶意活动可(kě)能(néng)主要针对印度，因為(wèi)该國(guó)向VirusTotal发送了大量副本。

Google Firebase泄露1.25亿用(yòng)户机密信息

由于Google Firebase配置错误，至少有(yǒu)900个网站的敏感数据（包括用(yòng)户的个人信息）在互联网上公(gōng)开。总共发现了至少1.25亿个公(gōng)开可(kě)用(yòng)的用(yòng)户记录。泄漏的数据包括未公(gōng)开的支付信息和密码。

Trust Wallet 向 iOS 用(yòng)户发出零日漏洞攻击警告

Trust Wallet 注意到 iOS 用(yòng)户，称该漏洞将允许攻击者在不点击任何链接的情况下渗透到目标 iPhone。如果得到证实，该零日漏洞将类似于Pegasus 间谍软件，它可(kě)以渗透移动设备并监控通信。加密钱包提供商(shāng)建议用(yòng)户禁用(yòng) iMessages，“直到苹果修复此问题”。我们已经联系了苹果公(gōng)司，但在发布之前没有(yǒu)收到回复。

漏洞播报

Apache Zeppelin 代码注入漏洞（CNNVD-202404-1218）

Apache Zeppelin是美國(guó)阿帕奇（Apache）基金会的一款基于Web的开源筆(bǐ)记本应用(yòng)程序，该应用(yòng)程序支持交互式数据分(fēn)析和协作(zuò)文(wén)档。Apache Zeppelin 0.11.0之前版本存在代码注入漏洞。攻击者利用(yòng)该漏洞通过JDBC驱动程序连接MySQL数据库时可(kě)以注入恶意代码。

Aiohttp存在路径遍历漏洞（CVE-2024-23334）

近日，安(ān)全研究人员发现开源库Aiohttp存在路径遍历漏洞（CVE-2024-23334），是由 “follow_symlinks” 静态路由设置為(wèi)“True”时验证不充分(fēn)所导致，允许未经身份验证的攻击者访问目标服務(wù)器上根目录之外的用(yòng)户文(wén)件。漏洞影响Aiohttp version < 3.9.1等版本，目前用(yòng)户可(kě)通过版本升级修复上述漏洞。

Microsoft Windows Kernel 安(ān)全漏洞（CNNVD-202404-1173）

Microsoft Windows Kernel是美國(guó)微软（Microsoft）公(gōng)司的Windows操作(zuò)系统的内核。Microsoft Windows Kernel存在安(ān)全漏洞。攻击者利用(yòng)该漏洞可(kě)以提升权限。

WordPress plugin Elementor Addon Elements 安(ān)全漏洞（CNNVD-202404-1244）

WordPress和WordPress plugin都是WordPress基金会的产(chǎn)品。WordPress是一套使用(yòng)PHP语言开发的博客平台。该平台支持在PHP和MySQL的服務(wù)器上架设个人博客网站。WordPress plugin是一个应用(yòng)插件。WordPress plugin Elementor Addon Elements 1.13.2版本及之前版本存在安(ān)全漏洞，该漏洞源于对用(yòng)户提供的输入清理(lǐ)和输出转义不足。攻击者利用(yòng)该漏洞可(kě)以执行存储型跨站脚本攻击。

移动应用(yòng)市场宏观情况

爱加密長(cháng)期基于安(ān)全检测引擎，对应用(yòng)进行107项漏洞扫描后存入爱加密大数据平台，周报中(zhōng)仅披露部分(fēn)数据，可(kě)于爱加密大数据平台中(zhōng)查看更多(duō)应用(yòng)市场宏观情况、恶意软件情况、历史通报情况等信息。

本期仅披露个人信息违规问题及移动应用(yòng)市场情况。4月1日-4月22日期间，监管机构通报Android个人信息违规数量约130，其中(zhōng)主要违规问题是“未明示收集使用(yòng)个人信息的目的、方式和范围”。

4月1日-4月22日期间，移动应用(yòng)市场共更新(xīn)、上新(xīn)移动应用(yòng)约3万款，其中(zhōng)ios占比最高，约50%。

作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，爱加密时刻关注我國(guó)的移动应用(yòng)安(ān)全发展状况，致力于通过优质(zhì)的核心技(jì )术服務(wù)监管部门及企业，从行业实践角度着手大力推动我國(guó)移动应用(yòng)生态的良好发展。