易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。
1.国家计算机病毒应急处理中心:这十款App存在危险行为代码
根据人民日报官方微博的消息,国家计算机病毒应急处理中心近期发现十款违法有害移动应用,主要危害涉及隐私窃取、恶意传播和流氓行为三类,手机上安装有这几款软件的用户请抓紧卸载。
十款违法有害移动应用:
1.《生存战争盒子》(版本V 1.5.0)
2.《Dragon Robot》(版本v 1.0)
这两款App存在危险代码,直接窃取用户隐私信息。
3《简单相机》(版本V 1.00)
4.《抖点短视频》(版本V 2.3.0)
这两款移动应用存在恶意代码,并私自进行传播。
5.《荣耀夺宝》(版本V 1.15/1.01)
6.《完美女生修图》(版本V 6.2.2)
7.《再歪一点》(版本V 2.5)
8.《省心文件管理器》(版本V 1.0)
9.《新拼货》(版本V 3.2)
10.《生日提醒管家》(版本V 2.4)
这六款应用存在危险代码,捆绑恶意插件。
2.中国互联网安全标准被国际接纳 取得重大进展
9月12日,互联网域名系统北京市工程研究中心(简称域名工程中心,英文缩写ZDNS)在×××软件园宣布,由中国技术人员牵头起草的互联网安全标准正式被国际社会接纳,成为互联网国际技术标准IETF RFC8416。会上还发布了自主开发的域名系统基础软件“红枫”系统、全球运行速度最快的域名服务器,以及首台国产化域名服务器。这是我国互联网社区为国际互联网技术发展作出的又一贡献。
3.《王者荣耀》要接入公安数据,进一步限制未成年人玩游戏
近期,腾讯游戏、王者荣耀的×××公众号相继发布公告称,腾讯将升级《王者荣耀》这款游戏的健康系统,也就是对用户加强实名制审核。
新用户在首次进入《王者荣耀》游戏时,腾讯将会通过接入“公安权威数据平台”对用户的年龄进行校验,判断用户是否未成年人,以便确定是否将此帐号纳入到防沉迷体系中。
腾讯没有解释“公安权威数据平台”具体包含哪些数据,但很可能包括人脸数据、×××等配对信息。此前借用×××之类的做法很可能不再可行。
4.×××拟规定互联网上不得直播录播拜佛烧香
9月12日,新京报记者从×××获悉,该局目前在中国政府法制信息网上发布《互联网宗教信息管理办法(征求意见稿)》,公开向社会征求意见。办法拟规定,任何组织或者个人不得在互联网上直播或者录播拜佛、烧香等宗教活动。
办法拟规定,任何组织或者个人不得在互联网上以文字、图片、音视频等方式直播或者录播拜佛、烧香、受戒、诵经、礼拜、弥撒、受洗等宗教活动。任何组织或者个人不得在互联网上以宗教名义开展募捐。
5.内容平台承担更多责任:扎克伯格表示,FB将阻止干预选举及传播虚假信息等行为
Facebook为打击虚假信息和干预行为,推出如下一些政策:加大检测力度与反移民、分裂内容审核;利用自动程序来查找和删除虚假账号;将传播错误信息的页面放在不太明显的位置,避免让更多人人看到。除此之外,Facebook努力雇佣额外的1万名员工来解决安全问题并在可疑活动上增进与执法部门以及其他公司的协调沟通。
6.瑞士数据管理公司 Veeam 泄露 4.45 亿条用户数据
近日,安全研究人员在网上发现了一个公开的数据库,其中存储着超过 200 G 的数据,但没有任何安全防护。200 G 的内容包含瑞士智能数据管理服务商 Veeam 的大量用户信息,包括姓名、邮箱地址、居住国等。此外,市场份额、用户类型、企业规模、IP 地址、用户代理等企业信息也暴露无余。数据具体暴露的时间尚不清楚,但研究人员表示,自己 9 月 5 日才发现该数据库,而存储数据库的服务器 IP 在 8 月 31 日就已经有人搜索。
7.越来越多的iOS应用收集用户信息出售获利
安全研究人员透露,越来越多的iOS应用程序目前收集iPhone用户的位置数据,WiFi网络ID和其他数据,并将其出售给广告公司。此外,还有很多人习惯于收集一些额外的设备数据,如加速度计信息,IDFA广告标识符,电池电量,蜂窝网络信息,GPS高度和/或速度,以及位置到达/离开时间戳。收集此类数据对于大多数被发现的应用程序来说是合理的,因为它们发现它们要求获得许可并确实有正当理由,问题在于它们都不会让用户知道他们的数据将分享获益。
8.趋势科技旗下的软件收集用户数据 以改进产品和服务
安全公司趋势科技旗下的软件 Dr Cleaner、Dr Cleaner Pro、Dr. Antivirus、Dr. Unarchiver、Dr. Battery 和 Duplicate Finder 被发现会收集用户的浏览历史并上传到其服务器上,苹果已经从其应用商店下架了相关应用。该公司发表声明称它的数据收集是一次性的,只限于安装前的 24 小时。它称数据收集是出于安全目的,分析用户是否最近遭遇过广告软件或其它威胁,以改进其产品和服务。它声称最终用户许可协议内包含了这些数据收集条款。当然我们都知道作为用户我们是不会去看 EULA。可能是面临的压力太大,趋势随后又宣布移除所有数据收集功能,删除所有保存的用户浏览历史记录。
9.英国航空公司数据泄露事件:38万人受影响
号称“世界上最受欢迎的航空公司”——英国航空公司,近日发布声明称出现严重的数据泄露事件。
声明中表示,在2018年8月21日至9月5日期间,所有通过其网站以及移动App上购买机票的用户信息均遭到泄露,人数多达380000人,泄露内容包括用户个人详细信息以及相关信用卡号码。
转载于:https://blog.51cto.com/13610827/2175433