一、监管部门动向:商务部推动《规范和促进数据跨境流动规定》;上海市政府允许金融机构向跨境传输部分数据;自贸区数据分类分级标准出台。
二、安全新闻:《关键信息基础设施安全保护支撑能力白皮书》发布;某军民融合企业被境外入侵;深度合成骗取2亿港币;无线充电器可对移动应用注入语音指令。
三、漏洞播报
四、移动应用市场宏观情况:2月更新、上新移动应用约3.4万款,2月Android及iOS漏洞类型TOP10数据出炉!
监管部门动向
商务部:准备推动出台《规范和促进数据跨境流动规定》
国务院新闻办公室于2024年2月5日举行国务院政策例行吹风会,介绍营造市场化、法治化、国际化一流营商环境有关情况,商务部外国投资管理司司长朱冰在发布会上表示,中央网信办制定了《规范和促进数据跨境流动规定》,正在研究完善、准备推动出台。
2023年网信系统执法情况公布
国家互联网信息办公室公布2023年网信系统网络执法情况。据统计,全国网信系统全年共约谈网站10646家,责令453家网站暂停功能或更新,下架移动应用程序259款,关停小程序119款,会同电信主管部门取消违法网站许可或备案、关闭违法网站14624家,督促相关网站平台依法依约关闭违法违规账号127878个。
中央网信办等四部门印发《2024年提升全民数字素养与技能工作要点》
中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2024年提升全民数字素养与技能工作要点》(以下简称《工作要点》)。《工作要点》指出,2024年是中华人民共和国成立75周年,是习近平总书记提出网络强国战略目标10周年,是我国全功能接入国际互联网30周年,做好今年的提升全民数字素养与技能工作,要以习近平新时代中国特色社会主义思想为指导,以助力提高人口整体素质、服务现代化产业体系建设、促进全体人民共同富裕为目标,推动全民数字素养与技能提升行动取得新成效,以人口高质量发展支撑中国式现代化。
上海市政府印发方案,允许金融机构向境外传输日常经营所需数据
上海市人民政府关于印发《上海市落实〈全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》的通知,(二)便利金融数据跨境传输中明确规定“在国家数据跨境传输安全管理制度框架下,金融机构可以向境外传输日常经营所需的数据。”
北京网警通报5起不履行网络安全保护义务处罚案例
北京市公安局网安部门加大对不履行网络安全保护义务违法行为的打击力度,切实压紧压实网络运营者的主体责任,对未建立管理制度、不履行网络信息安全管理义务的多家违法企业依法给予行政处罚。
自贸区首例企业数据分类分级标准发布!
经国家数据安全工作协调机制批准,2月7日,天津市商务局、中国(天津)自由贸易试验区(以下简称天津自贸试验区)管委会联合发布《中国(天津)自由贸易试验区企业数据分类分级标准规范》(以下简称《标准规范》),为自贸试验区企业开展数据分类分级提供指导,促进企业数据安全有序流动,做强做优做大数字经济。这也是全国首个自贸试验区数据分类分级标准规范,填补了该领域制度空白。
安全新闻
国安部:某军民融合企业平台存安全漏洞,被境外“网络间谍”入侵
国家安全机关工作发现,近年来,境外“网络间谍”利用我重要单位安全防范不到位、工作疏忽、贪图便利等机会,持续通过各种方式,攻击我境内重点要害单位、部门、企业的信息化系统,并建立隐蔽传输通道,持续窃取我重要敏感数据,危害我国数据安全、网络安全。
深度伪造第一大案:香港某跨国公司被“克隆人”骗走2亿港元
《南华早报》披露,通过一场精心策划的,基于最新人工智能深度伪造技术的高端电汇欺诈骗局,黑客从一家跨国公司的香港办事处骗走了高达2亿港元(2560万美元)。
巨头企业因网络攻击损失4900万美元!
美国清洁用品公司高乐氏于2024年2月1日提交给美国证券交易委员会(SEC)的财报中披露,截至2023年底,该公司因网络攻击导致的损失已达4900万美元。
关键信息基础设施安全保护联盟发布《关键信息基础设施安全保护支撑能力白皮书》
爱加密作为国内领先的移动信息安全综合服务提供商入选安全保护、监测预警、检测评估、软件供应链4大关键板块。
知名豪华汽车品牌发生数据泄露事件:云存储服务器配置错误
TechCrunch 近日报道,某知名豪华汽车品牌的云存储服务器发生配置错误事件,导致私钥和内部数据等敏感信息暴露。
新型Volschemer攻击利用无线充电器注入语音指令甚至损坏智能手机
一组名为“Volschemer”(伏特图式)的新攻击可以通过现成的无线充电器发出的磁场注入语音命令来操纵智能手机的语音助手。volschemer还可用于对移动设备造成物理损坏,并将靠近充电器的物品加热到536华氏度(280摄氏度)以上。这篇技术论文将volschemer描述为一种利用电磁干扰来操纵充电器行为的攻击。
漏洞播报
SolarWinds 曝出五个严重的 RCE 漏洞
SolarWinds 近期修补了 Access Rights Manager (ARM) 解决方案中的五个远程代码执行 RCE 漏洞,其中包括三个允许未验证利用的严重漏洞!
黑客利用新型 Dropper 在 Windows 上传播恶意软件
FortiGuard 实验室的威胁研究小组发现了一种新型安卓恶意软件投放器,负责传递最终有效载荷。
Apple Shortcuts 高严重性漏洞或导致用户敏感信息泄露
Bitdefender近日披露了iOS“快捷指令”应用中的高风险漏洞CVE-2024-23204,该漏洞利用“Expand URL”功能绕过苹果的TCC权限系统,将照片、联系人、文件或剪贴板数据等base64编码数据传送到网站。攻击者端的Flask程序会捕获并存储传输的数据,以便进行潜在利用。
移动应用市场宏观情况
爱加密长期基于安全检测引擎,对应用进行107项漏洞扫描后存入爱加密大数据平台,周报中仅披露部分数据,可于爱加密大数据平台中查看更多应用市场宏观情况、恶意软件情况、历史通报情况等信息。
本期仅披露移动应用市场宏观情况与漏洞情况。2月1日-2月29日移动应用市场期间共更新、上新移动应用约3.4万款,其中游戏类app占比最高,约26%。
漏洞方面,2月1日-2月29日 Android漏洞类型TOP10如下图,数量最多的类型为资源文件泄露风险共有5万余个。
2月1日-2月29日iOS漏洞类型TOP10如下图,数量最多的为外部函数显式调用风险风险。
作为国内知名的移动信息安全综合服务提供商,爱加密时刻关注我国的移动应用安全发展状况,致力于通过优质的核心技术服务监管部门及企业,从行业实践角度着手大力推动我国移动应用生态的良好发展。