一、监管部
二、安全新闻:2023年检测到88,500 个Android 银行木马;Google Play 上发现多个恶意 Android 应用程序
三、漏洞播报:苹果修复了两个新的用于攻击iOS的零日漏洞;蓝牙漏洞可让黑客接管 iOS、Android
四、移动应用市场宏观情况:2月1日至3月20日期间,各大监管机构统计通报231款;移动应用市场期间共更新、上新移动应用约6.6万款
监管部门动向
全国网安标委发布《生成式人工智能服务安全基本要求》
全国网络安全标准化技术委员会正式公布《生成式人工智能服务安全基本要求》(以下简称“《基本要求》”),明确了生成式人工智能服务在安全方面的基本要求,包括语料安全、模型安全、安全措施、安全评估等。
最高法工作报告强调加强个人信息保护,完善数字权益保护规则
十四届全国人大二次会议在北京人民大会堂举行第二次全体会议,最高人民法院院长张军向大会作最高人民法院工作报告。报告提出,2024年人民法院将加强个人信息保护,完善数字权益保护规则。爱加密长期关注个人信息领域,曾针对最高法案例进行过专题解析。
《民航数据管理办法(征求意见稿)》《民航数据共享管理办法(征求意见稿)》发布
为落实数字中国建设整体部署,进一步加强和规范数据管理,保障数据安全,智慧民航建设领导小组办公室组织编制了《民航数据管理办法(征求意见稿)》《民航数据共享管理办法(征求意见稿)》
上海市市场监管局公布个人信息保护违法典型案例
2023年,上海市市场监督管理局坚持以人民为中心,聚焦民生热点问题,加强新领域、新模式的消费者权益保护监管执法,开展了个人信息保护等专项执法行动。坚持执法+服务,强化约谈指导,深挖违法线索,攻坚行业痼疾,着力规范行业,打造放心满意的消费环境。
两会期间涌现多个数据及个人信息合规提案
近年数据合规、个人信息合规引起企业和政府空前重视,爱加密收集“两会”中相关声音,望协助各位了解各人大代表与政协委员的提案,并已发文梳理。
“3·15”晚会:曝光了多起利用AI换脸技术诈骗案例
在2024年第34届“3·15”晚会上,曝光了多起利用AI换脸技术合成视频、音频、照片,冒充重要关系人实施诈骗的案例。不仅揭示了AI技术违法滥用带来的危害,更体现出个人人脸数据泄露的严重性。爱加密长期专注人脸安全及个人信息合规领域,致力于守护个人信息及人脸安全,保护企业及消费者。
安全新闻
2023年检测到88,500 个Android 银行木马
据报道,仅去年一年就检测到了惊人的 88,500 个此类木马。以SharkBot银行木马为例,Android 银行木马将自己隐藏为名叫“RecoverFiles”的文件恢复工具。一旦安装在设备上,“RecoverFiles”就会要求访问“该设备上的照片、视频、音乐和音频”,以及访问文件、映射和与其他应用程序对话,甚至可以通过 Google Play 进行付款。
Google Play 上发现多个恶意 Android 应用程序
有安全研究人员在 12 个恶意应用程序中发现了一种名为 VajraSpy 的 Android 远程访问木马 (RAT),其中 6 个应用程序于 2021 年 4 月 1 日至 2023 年 9 月 10 日期间在 Google Play 上提供。这些恶意应用程序现已从 Google Play 中删除,但仍可在第三方应用程序商店中找到,它们被伪装成消息或新闻应用程序。
MavenGate攻击可能让黑客通过废弃的库劫持Java和Android
Java和Android应用程序中已废弃但仍在使用的几个公共和流行库,已被发现易受一种名为MavenGate的新软件供应链攻击方法的影响。对项目的访问可能会通过域名购买被劫持,由于大多数默认构建配置都很脆弱,因此很难甚至不可能知道是否正在进行攻击。利用这些缺点可能会让邪恶的参与者劫持依赖项中的工件,并将恶意代码注入应用程序,甚至通过恶意插件破坏构建过程。
新华社:交友App暗藏陷阱!花10多万没脱单,面都没见到
记者发现,多个运营模式类似的“脱单”App在应用商店上下载量巨大。然而,该类App遭到大量网友投诉,涉及“虚假宣传”“诱导大量充值”等。专家认为应用商店已经成为用户获取App的重要入口,应用商店运营方应当进一步承担起App应用上架审核和运营监管责任。
“App上架前,应用商店应要求App运营方提供各项用户协议,并进行运营模式评估,做到合规上架;App上架后,应便捷受理和处置用户投诉,并向App运营方反馈,督促其整改,必要时下架App甚至列入黑名单。如App运营涉嫌违法犯罪,应用商店等应积极配合国家网信、公安、工信等部门对相关违法犯罪行为依法处置和坚决打击。”闫怀志说。
漏洞播报
苹果修复两个用于攻击iOS的零日漏洞
这两个漏洞是在iOS 内核 (CVE-2024-23225) 和 RTKit (CVE-2024-23296) 中发现的,这两个漏洞都允许具有任意内核读写能力的攻击者绕过内核内存保护。
蓝牙漏洞可让黑客接管 iOS、Android、Linux 和 MacOS 设备
CVE-2024-0230、CVE-2023-45866、CVE-2024-21306导致威胁参与者可以在没有用户确认的情况下利用新漏洞配对模拟蓝牙键盘。
CNVD行业漏洞收录情况
本周,CNVD收录了24个电信行业漏洞,59个移动互联网行业漏洞,9个工控行业漏洞。其中,“多款Fortinet产品格式化字符串错误漏洞(CNVD-2024-13095)、TP-LINK ER7206操作系统命令注入漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
移动应用市场宏观情况
爱加密长期基于安全检测引擎,对应用进行107项漏洞扫描后存入爱加密大数据平台,周报中仅披露部分数据,可于爱加密大数据平台中查看更多应用市场宏观情况、恶意软件情况、历史通报情况等信息。
本期仅披露应用通报情况及App更新及上架情况。2月1日至3月20日期间,各大监管机构统计通报231款,山东通管局及工信部通报数量占比近半。
2月1日-3月20日移动应用市场期间共更新、上新移动应用约6.6万款,其中游戏类app占比最高,约50%。
作为国内知名的移动信息安全综合服务提供商,爱加密时刻关注我国的移动应用安全发展状况,致力于通过优质的核心技术服务监管部门及企业,从行业实践角度着手大力推动我国移动应用生态的良好发展。