易盾业务风控周报每周报道值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。
1、市场监管总局、中央网信办等11部门发布:整治虚假违法广告2020年工作要点
为全面贯彻党的十九大和十九届二中、三中、四中全会精神,认真落实中央经济工作会议部署,进一步加强广告市场协同监管,严厉打击虚假违法广告,维护良好广告市场秩序,市场监管总局、中央宣传部、中央网信办、工业和信息化部、公安部、卫生健康委、人民银行、广电总局、银保监会、中医药局、药监局等十一部门联合制定了《整治虚假违法广告部际联席会议2020年工作要点》,修订了《整治虚假违法广告部际联席会议工作制度》。
2、网易CC直播公布“绿色防火墙”青少年保护计划
在青少年模式下,用户使用CC直播将无法开启直播和浏览游戏、娱乐等页面,CC直播官方精选了一批适合未成年人观看的优质内容,同时用户无法进行充值打赏、购买兑换、弹幕评论、视频直播等互动性操作。开通、关闭青少年模式均需输入提前设置的独立密码,协助家长完成对青少年模式的主动设置。
3、重磅!全国首个《网络游戏消费者权益保护规范》团体标准正式发布
本标准旨在通过规范网络游戏经营单位的经营义务和服务标准,为网络游戏经营单位的规范经营提供依据,全面提升网络游戏产品和服务质量,改善网络游戏消费环境,保护网络游戏消费者的合法权益,构建良好的网络文化氛围,引导网络游戏产业健康发展。
4、多款热门iOS应用被爆擅自读取剪贴板内容 存在安全风险
安全专家Talal Haj Bakry和Tommy Mysk最新研究发现,数十款热门iOS应用程序在未经用户许可的情况下读取剪贴板的内容,而其中可能会包含一些敏感信息。包括TikTok、8 Ball Pool™和Hotels.com等诸多热门应用都会在后台悄然读取剪贴板上的所有文本内容。从iOS 13.3开始,iOS和iPadOS应用程序可以不受限制地访问系统范围的剪贴板。
5、浏览器供应商因开放服务造成数据泄漏
浏览器供应商无意中使没有密码的Elasticsearch服务器暴露在互联网上后泄露了用户数据。泄漏发生在爱沙尼亚的Blisk公司,该公司开发了同名的Blisk浏览器。
6、信安标委发布《网络安全标准实践指南—远程办公安全防护》
全国信息安全标准化技术委员会针对远程办公安全问题发布了《网络安全标准实践指南—远程办公安全防护》。
下载地址:https://www.tc260.org.cn/upload/2020-03-13/1584090952093076364.pdf
7、报告称美国83%联网医疗成像设备易受黑客攻击
根据Palo Alto Networks旗下Unit 42 Threat安全团队发布的《2020年物联网威胁报告》,多达83%的联网医疗成像设备(如乳房X光造影机、MRI核磁共振成像机等等)存在安全隐患。这一比例明显高于2018年的56%。
8、数字防疫需防个人信息”裸奔” 天津开展违规App治理
针对防疫中出现的非授权、超范围采集使用个人信息等问题,天津市委网信办近日决定,在全市开展相关App违法违规收集使用个人信息专项治理。此前,中央网信办下发通知,明确要求为疫情防控收集的个人信息,不得用于其他用途。
9、智能蜜罐DeepDig:把黑客变成免费渗透测试服务人员
最近,德克萨斯大学达拉斯分校(UT Dallas)的研究人员正在应用机器学习技术开发更有效的蜜罐式网络防御——智能DeepDig(DEcEPtion DIGging,欺骗挖掘)。与传统蜜罐不同,DeepDig技术会将陷阱和诱饵植入真实系统中,借助机器学习技术更深入地了解攻击者的行为。换而言之就是将网络攻击作为基于机器学习的入侵检测系统的实时培训数据的免费来源,把攻击者当成免费的渗透测试人员。
10、疫情催生更严格信息管控,苹果禁止冠状病毒主题的游戏娱乐App上架
为了确保上架 App 的信息源信誉良好,苹果近日在其开发者社区发布声明称,苹果将只接受“有公信力的实体,如政府组织、关注公共健康的非政府组织、在健康事业上具有权威证书的公司以及医疗或教育机构”发布与冠状病毒相关的应用程序。苹果将不会批准任何以冠状病毒疫情为主题的娱乐和游戏应用。
11、谷歌称疫情导致YouTube视频审核问题:被误删数量增加
据国外媒体报道,Alphabet旗下谷歌公司本周一警告称,视频平台YouTube可能会出现因违反内容政策为由而被误删的视频数量的大量增长,原因是在新冠病毒疫情流行期间,该公司将更多地依赖自动化软件来审核视频,而不是依靠人类员工。