易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。
1.学习类App监管趋严: 色情、网络游戏、商业广告依然存在
2019年1月17日消息 由于学习类APP屡次出现涉黄内容、网游泛滥等乱象,在去年10月份央视曝光了APP中存在的问题。今年1月16日,央视又对学习类软件乱象的后续整改情况进行了报道。今日,全国“扫黄打非”办公室官方微博发布消息称,对曝光的问题APP及运营者已经开展核查。并称,坚决遏制教育类APP传播色情低俗信息行为。
近日,教育部印发《关于严禁有害App进入中小学校园的通知》,要求各地要建立学习类App进校园备案审查制度,禁止APP中包含商业广告,以及公布学生成绩、排名等信息。据悉,通过多部门的联合调查,15000多个教育类APP被下架,学习类APP存在的乱象逐渐得到遏制。
2.上海市网信办打击自媒体乱象,依法注销“魔都八卦女”账号
近日,上海市网信办接网民举报,微信公众号“魔都八卦女”(微信号:gh_a68b9d78078c,账号主体:个人)传播散布涉本市某医学院教授的低俗谣言信息,文内引用大量不堪入目的文字和图片,引发微信圈群中大量传播,造成恶劣社会影响。
据悉,相关谣言系旧闻重炒,早在2017年造谣者已被公安机关依法处置。经核查,“魔都八卦女”运营者为一杜姓男子。上周,杜某在该公众号发布有关谣言后,在当事方向其指出后,仍拒不撤稿,文章阅读数超过10万。鉴于此,上海市网信办迅速协调相关部门和平台,依法注销了该账号。
上海市市网信办协调相关部门依法注销传播低俗谣言的微信公众号“魔都八卦女”账号:“任何网上行为都须遵守法律法规,具有大众传播功能的自媒体尤须恪守社会主义核心价值观,上海市网信办将全力依法依规整治打击自媒体领域的各类乱象,绝不姑息。”
3.Voipo发生严重的数据泄露事件:价值数十亿美元的客户资料被曝光
去年11月,一家名为Voxox的电信企业不慎泄露了一个包含数百万条短信的数据库,其中包括了密码重置和双因素认证代码。在安全研究人员曝光之前,其安全漏洞已向攻击者敞开数月。由于服务器未受保护,本次事件导致数百万份呼叫日志和文本消息被泄露。令人惊恐的是,时隔两月,另一家名叫Voipo通信提供商,又泄露了价值数十亿美元的客户数据。
4.人脸识别解锁能用照片绕过?华为、三星、小米、HTC等均上榜
荷兰消协表示,在过去的一年里,他们对上百款智能手机配备的人脸识别功能的安全性进行了测试。事实证明,在用来测试的110部智能手机中,有42部可以通过用户的照片来解锁。其中,来自三星的Galaxy A7和Galaxy A8、华为的P20、P20 Lite和P20 Pro、诺基亚的model 3.1和7.1,以及索尼的Experia XZ2和Z2 Compact都存在这样的问题。
当然,这并不是说来自这些品牌的所有型号的手机都存在这样的问题。比如,三星的Galaxy S9、S9+和Note 9,以及华为的Mate 20和Mate 20 Pro就不受影响。另外,iPhone XS Max和iPhone XR的人脸识别也无法通过照片来绕过。
5.7.73 亿 Collection #1 数据泄露
据Solidot报道,安全研究员Troy Hunt 披露,上周他被告知一个流行的黑客论坛正在讨论 MEGA 上的一个公开数据集,其容量超过 87GB,包含了 7.73 亿电子邮件地址和 2122 万个唯一密码。论坛上公开的一个图像显示数据集的根文件夹名字叫 Collection #1,因此这一次的数据泄露被称为 Collection #1。Hunt 称,他检查了这个数据集,发现自己的电邮地址和旧密码都在里面,而且是正确的,幸运的是密码已经不再使用。用户可以访问他的 Have I Been Pwned 服务,看看自己的信息是否遭到泄露。该数据集已经被删除,但根据论坛的讨论数据已经广泛流传。
6.国家计算机病毒应急处理中心监测发现十款违法移动应用
@新华视点 1月17日消息,国家计算机病毒应急处理中心近日监测发现,十款违法有害移动应用存在于移动应用发布平台中,其主要危害涉及恶意扣费、隐私窃取、恶意传播、诱骗欺诈和流氓行为五类。
这些违法有害移动应用具体如下:
(1)《正中靶心》(版本1.0)这一款移动应用存在扣费恶意代码,通过隐蔽等手段,导致用户经济损失。
(2)《高效办公软件》(版本2.0.0)这一款移动应用存在危险行为代码,警惕该软件私发短信定制扣费业务,泄露用户隐私。
(3)《宝石大消除》(版本2.4.2)、《聚看影视》(版本18.11.11.123)这两款移动应用在用户不知情的情况下,私自拨打电话、发送短信等,造成用户流量消耗和资费损失。
(4)《青青草视频在线》(版本5.4.9)这一款移动应用存在诱骗欺诈行为,可能会弹出积分墙广告,强制要求用户完成推广应用下载任务才可以正常使用,给用户带来严重干扰。
(5)《星星苹果消消乐》(版本5.12.20)、《互动第一课堂》(版本2.4.4)、《开火车》(版本1.4)、《地域边境》(版本6.3.24)、《开心消消乐2016》(版本V1.0)这五款移动应用存在危险行为代码,严重干扰移动设备正常使用。
针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户不要下载这些违法有害移动应用,避免手机操作系统受到不必要的安全威胁。同时建议打开手机中防病毒移动应用的“实时监控”功能,对手机操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动。
7.手机APP越界索权亟须根治
手机APP越界索权的问题再次受到关注。近日,在使用个人所得税APP申报个税时,个别地方出现申报人“被就职”现象,即在“任职受雇信息”中,申报人供职于完全没有听过的企业或单位。不少人认为,自己的身份信息可能被盗用,从而导致“任职受雇信息”出现异常。
伴随着移动互联网给人们带来极大便利的同时,个人信息的不当扩散与不当利用,已逐渐发展成为危害公民民事权利的社会问题。2018年8月29日,中消协发布《APP个人信息泄露情况调查报告》指出,手机APP过度采集个人信息呈现普遍趋势。最突出的是获取位置信息和访问联系人权限。比如,一些APP在自身功能使用非必要的情况下获取用户隐私权限,增加了个人信息泄露的风险。
对手机应用软件越界索权治理,一则,依法惩治是根本;二则,需要行业的守法自觉;三则,构建起分类保护体系;最后,个人应加强防范意识。
8.Twitter部分用户私密消息被公开
据美国科技媒体TechCrunch 报道,Twitter昨日表示,Android 版本应用的漏洞导致某些用户的“受保护”消息被公开。据悉,在开启“保护你的Twitter 消息”时,他们对账号设置所做的某些调整可能引发问题。更为严重的是,该问题从2014年11月3日就存在。由于问题出现的时间过长,导致目前无法确定受影响的用户规模有多大。
实际上,在去年5月份,Twitter 就发现了一个有关加密密码的bug。随即,Twitter 向所有用户发出警告,要求用户及时修改密码,并修改使用相同密码其他网站的账号密码。可见,Twitter 出现漏洞已不是第一次。
其实,私密消息被公开这类事件的出现有很大一部分的原因都在于平台内部的疏忽。首先作为互联网企业就应明确自身责任,做好信息保护工作,加强信息安全制度建设,保障用户的隐私安全。