易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。
1、探探app下架:涉嫌传播淫秽色情等违法违规信息
有媒体报道称,根据上级通知,“探探”app传播淫秽色情等违法违规信息,予以下架。目前,探探方面回应称:“我们从应用商店获悉,探探app因为违规被从应用商店下架整改,我们将积极配合有关部门的要求,全面自查自纠,深入开展整改,自觉维护健康绿色的互联网生态。”(界面新闻)
2、全国将建统一身份认证系统
为依法促进和保障一体化在线平台建设,为企业和群众提供高效、便捷的政务服务,优化营商环境,日前发布的《国务院关于在线政务服务的若干规定》明确了以下几方面内容:
- 明确一体化在线平台建设的目标要求和总体架构
- 明确一体化在线平台建设管理的推进机制
- 明确政务服务原则上应在线办理
- 明确政务服务事项办理的基本要求
- 明确电子签名、电子印章、电子证照、电子档案的法律效力
3、苹果回应下架家长控制类app:用户的隐私和安全受威胁
苹果在声明《关于家长控制类app的事实》中表示:“近期,我们从app store下架了一些家长控制类app,原因很简单:这些app将用户的隐私和安全置于危险境地。” 苹果表示,过去一年,他们注意到一些家长控制类app在使用一项称为 “移动设备管理” 的高度侵入性技术。在他们向app开发者通报违规行为后,未按要求更新的app被下架。
4、泄露公司源代码造成超百万损失,大疆前员工被罚20万、获刑半年
深圳法院近日对大疆源代码泄露案做出一审判决,综合考虑犯罪情节以及自愿认罪、有悔罪表现,以侵犯商业秘密罪判处大疆前员工有期徒刑六个月,并处罚金20万人民币。据悉,这些泄露出去的代码,已用于该公司农业无人机产品,具有实用性。尽管大疆公司采取了合理的保密措施,但该次事件依然给大疆造成经济损失116.4万元人民币。根据深圳市人民检察院披露的内情,2017年安全研究员kevin finisterr在大疆的网络安全方面发现了一个非常严重的漏洞。这个漏洞能让攻击者获取到ssl证书的私钥,并允许他们访问存储在大疆服务器上的客户敏感信息,这使得大疆的所有旧密钥毫无用处,从而可能导致大疆服务器上的用户信息、飞行日志等私密信息能被下载。经过大疆公司的调查,这个漏洞是大疆的一名前员工通过一个计算机指令,将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至github网站的“公有仓库”,造成了源代码泄露。(搜狐)
5、docker hub 数据库遭未经授权访问 约19万账号暴露
docker 向用户发去通知:docker hub 的一个数据库在 4 月 25 日被发现遭到未经授权访问。在发现之后他们立即采取措施进行干预并确保网站安全。在短暂的数据库未经授权访问期间,大约 190,000 账号的敏感数据暴露,部分用户泄露了用户名、哈希密码、用于 docker 自动构建的 github 和 bitbucket 令牌。docker 已经要求受到影响的用户改变密码,撤销了 github 令牌和访问密钥。docker hub 是一个分享预配置 docker 镜像的仓库,预配置的镜像可以节省管理员的设置时间。类似的供应链攻击正日益猖獗。(solidot)
6、亚马逊智能音箱陷隐私漏洞:工作人员自曝可获取用户住址信息
根据彭博社4月25日报道消息称,亚马逊智能音箱7名团队成员透露,工作人员在一定情况下可以获取用户所在地点。其中2名成员指出,通过在第三方地图软件上输入用户的地理坐标,他们可以轻松找到用户的地址,而值得一提的是,他们甚至还向彭博社记者展示了整个过程。(驱动中国)
7、广东抽查手机应用商店:20个app违规收集个人信息被下架
据工信部网站消息,近日,广东省通信管理局抽查了辖区内各大应用商店,重点排查收集用户信息的违规行为,发现违规app20个。截至目前,违规app已全部下架。广东管局约谈涉事应用商店所属企业,包括广州优视网络科技有限公司(pp助手)、广东太平洋互联网信息服务有限公司(太平洋电脑)等公司。存在的主要问题有:一是注册时没有公示用户服务协议和隐私协议;二是隐私协议未明确收集哪些用户个人信息;三是隐私协议包含获取“用户的手机通讯运营商的服务密码、验证码”等;四是未提供注销功能;五是存在静默下载的问题,使用过程中在用户不知情时下载别的应用软件,消耗流量;六是存在积分墙的限制,即在安装运行后无法使用并要求下载其他应用软件。(中国新闻网)
8、50多个恶意安卓应用绕过google play,感染了3000万安卓用户
据外媒报道,google play上存在50多个恶意应用程序,安装量超过3000万次。这些程序会显示长时间的广告,还能欺骗用户安装其他应用程序。据avast称,所有恶意应用程序都通过第三方安卓库“tssdk”连接在一起,以绕过安卓的后台限制。 市场研究机构趋势科技公司(trend micro)日前发布的一份报告显示,在谷歌的应用商店google play里,400多款app内隐藏了恶意代码,这些藏有恶意代码的应用可使感染手机变成监听站,用户敏感数据随时都有外泄潜在风险。(看雪)