一、监管部门动向：网信办(bàn)发布《网络安(ān)全事件报告管理(lǐ)办(bàn)法（征求意见稿）》、《粤港澳大湾區(qū)（内地、香港）个人信息跨境流动标准合同实施指引》；《儿童智能(néng)手表个人信息和权益保护指南》爱加密深度参编！

二、安(ān)全新(xīn)闻：苹果'Lockdown Mode'的破解之法被发现；中(zhōng)國(guó)某汽車(chē)供应链巨头数据泄露！

三、最新(xīn)漏洞播报：苹果两大零日漏洞影响iPhone、iPad和Mac；Android：未检测到的特洛伊木(mù)马扩大了对伊朗银行的攻击；iOS：HomeKit 功能(néng)被利用(yòng)进行安(ān)全攻击！

四、移动应用(yòng)市场宏观情况：近期更新(xīn)、上新(xīn)移动应用(yòng)约1万款，其中(zhōng)生活实用(yòng)类、办(bàn)公(gōng)學(xué)习类app占比最高，合计占比约47%

 

一、监管部门动向

國(guó)家互联网信息办(bàn)公(gōng)室发布《网络安(ān)全事件报告管理(lǐ)办(bàn)法（征求意见稿）》

规定运营者在发生网络安(ān)全事件时，应当及时启动应急预案进行处置。按照《网络安(ān)全事件分(fēn)级指南》，属于较大、重大或特别重大网络安(ān)全事件的，应当于1小(xiǎo)时内进行报告。不同身份的运营者报告路径不同，乙方与个人拥有(yǒu)提醒义務(wù)。

http://www.cac.gov.cn/2023-12/08/c_1703609634347501.htm

 

國(guó)家互联网信息办(bàn)公(gōng)室发布《粤港澳大湾區(qū)（内地、香港）个人信息跨境流动标准合同实施指引》

為(wèi)落实《中(zhōng)华人民(mín)共和國(guó)國(guó)家互联网信息办(bàn)公(gōng)室与香港特别行政區(qū)政府创新(xīn)科(kē)技(jì )及工(gōng)业局　关于促进粤港澳大湾區(qū)数据跨境流动的合作(zuò)备忘录》关于“共同制定粤港澳大湾區(qū)个人信息跨境标准合同并组织实施，加强个人信息跨境标准合同备案管理(lǐ)”的合作(zuò)措施，國(guó)家互联网信息办(bàn)公(gōng)室与香港创新(xīn)科(kē)技(jì )及工(gōng)业局共同制定《粤港澳大湾區(qū)（内地、香港）个人信息跨境流动标准合同实施指引》

目前大湾區(qū)个人信息跨境流动是监管部门对个人信息跨境流动的核心关注点，此前爱加密已对此进行解读，可(kě)见文(wén)章：10城进一步明确数据出境要求！深度解读《大湾區(qū)跨境个人信息保护要求》

关于侵害用(yòng)户权益行為(wèi)的APP（SDK）通报（2023年第8批，总第34批）

工(gōng)业和信息化部高度重视用(yòng)户权益保护工(gōng)作(zuò)，近期，我部组织第三方检测机构对群众关注的实用(yòng)工(gōng)具(jù)、网络游戏等移动互联网应用(yòng)程序（APP）及第三方软件开发工(gōng)具(jù)包（SDK）进行检查。发现22款APP、SDK存在侵害用(yòng)户权益行為(wèi)。

https://wap.miit.gov.cn/xwdt/gxdt/sjdt/art/2023/art_f19e1bb6c86d46aa925e977a9694d8d7.html

 

《儿童智能(néng)手表个人信息和权益保护指南》发布！

為(wèi)积极保护儿童个人信息、保障儿童权益，由中(zhōng)國(guó)网络安(ān)全产(chǎn)业联盟归口，CCIA数据安(ān)全委员会组织委员单位编制了联盟技(jì )术文(wén)件《儿童智能(néng)手表个人信息和权益保护指南》，旨在帮助儿童智能(néng)手表制造者在开发与运营的过程中(zhōng)强化儿童个人信息与权益保护机制。

爱加密長(cháng)期关注个人信息保护工(gōng)作(zuò)，深度参与本标准起草(cǎo)，后续将為(wèi)大家带来标准解读。

http://www.china-cia.org.cn/home/WorkDetail?id=656d6d250200340d9c4a0d65

 

二、安(ān)全新(xīn)闻

苹果'Lockdown Mode'的破解之法被发现

Lockdown 旨在為(wèi)极少数用(yòng)户提供可(kě)选的极端保护。这些用(yòng)户因其身份或工(gōng)作(zuò)性质(zhì)，可(kě)能(néng)被极為(wèi)先进的数字威胁锁定為(wèi)攻击目标。攻击者可(kě)以在模拟用(yòng)户使用(yòng)的同时暗箱操作(zuò)。

https://www.darkreading.com/endpoint-security/apple-lockdown-mode-bypass-subverts-iphone-strongest-security-feature

 

谷歌云发生未知故障，部分(fēn)用(yòng)户丢失近半年数据

谷歌支持论坛近期涌现大量用(yòng)户反馈，称其谷歌云盘（Google Drive）发生异常，这导致许多(duō)用(yòng)户丢失大量数据。他(tā)们的云盘数据被回溯至了今年五月份。

https://www.163.com/dy/article/IKLIBRPO0511A5GF.html

 

中(zhōng)國(guó)汽車(chē)供应链巨头出现信息泄露！

某向通用(yòng)汽車(chē)、大众汽車(chē)集团、福特销售零部件的中(zhōng)國(guó)汽車(chē)供应链巨头被攻击，攻击者公(gōng)布了其财務(wù)文(wén)件、保密协议、报价文(wén)件、技(jì )术数据表和内部报告。

https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-on-automotive-giant-yanfeng/

 

三、最新(xīn)漏洞播报

苹果两大零日漏洞影响iPhone、iPad和Mac

CVE-2023-42916 和 CVE-2023-42917这两个漏洞是在 WebKit 浏览器引擎中(zhōng)发现的，这两个漏洞允许攻击者通过越界读取弱点访问敏感信息，并通过恶意制作(zuò)的网页(yè)在易受攻击的设备上通过内存损坏漏洞执行任意代码。受影响的苹果设备范围相当广泛，包括：iPhone XS及更高版本、多(duō)版本iPad与Mac電(diàn)脑。

https://www.bleepingcomputer.com/news/apple/apple-fixes-two-new-ios-zero-days-in-emergency-updates/

 

iOS：黑客基于输入法发起攻击，可(kě)回传所有(yǒu)输入信息

可(kě)通过TestFlight进行部署，恶意键盘能(néng)够记录受害者输入的所有(yǒu)内容，并将所有(yǒu)这些信息发送回该活动背后的黑客操作(zuò)的命令和控制(C&C)服務(wù)器。

https://www.certosoftware.com/insights/beware-of-what-you-type-the-rise-of-keyboard-based-iphone-hacking/

 

iOS：HomeKit 功能(néng)被利用(yòng)进行安(ān)全攻击

攻击者试图利用(yòng) iPhone 的 HomeKit 功能(néng)来利用(yòng)和感染这些未透露姓名(míng)的个人的设备。HomeKit 向量与 NSO Group 的 Pegasus 间谍软件使用(yòng)的多(duō)个漏洞一致。目前无法确认本次攻击中(zhōng)使用(yòng)的具(jù)體(tǐ)间谍软件。

https://www.accessnow.org/spyware-attack-in-serbia/

 

Android：未检测到的特洛伊木(mù)马扩大了对伊朗银行的攻击

Zimperium公(gōng)布的最新(xīn)发现包括识别出245种与相同威胁因素相关的新(xīn)应用(yòng)程序变體(tǐ)。其中(zhōng)28种变體(tǐ)仍然未被行业标准扫描工(gōng)具(jù)检测到。

https://www.infosecurity-magazine.com/news/android-trojan-attack-iran-banks/

 

某1亿+安(ān)装(zhuāng)应用(yòng)程序出现涉及遠(yuǎn)程入侵、数据泄露的漏洞

Google AppStore收到了一组漏洞，该漏洞影响了一款名(míng)為(wèi)zCamera的流行相机应用(yòng)程序。该应用(yòng)程序的安(ān)装(zhuāng)量超过1亿，仅iOS版本就有(yǒu)超过 3 万条评论。

https://medium.com/@ostorlab/this-article-is-a-technical-deep-dive-showing-how-a-100m-installation-image-application-can-6343ce8ea076

 

Apple iOS和iPadOS缓冲區(qū)溢出漏洞

Apple iOS和iPadOS缓冲區(qū)溢出漏洞，该漏洞源于ImageIO中(zhōng)在处理(lǐ)不受信任的输入时出现边界错误，攻击者可(kě)利用(yòng)该漏洞创建一个特制的文(wén)件欺骗受害者打开它，引发内存损坏并在目标系统上执行任意代码。Dave Jong（Patchstack）在WordPress Perfmatters插件中(zhōng)发现并报告了此跨站点请求造假（CSRF，Cross Site Request Forgery）漏洞。这可(kě)以使攻击者劫持高权限用(yòng)户并进行操作(zuò)。此漏洞已在2.1.7版本中(zhōng)修复。

https://patchstack.com/database/vulnerability/perfmatters/wordpress-perfmatters-plugin-2-1-6-multiple-cross-site-request-forgery-csrf-vulnerabilities?_s_id=cve

 

四、移动应用(yòng)市场宏观情况

爱加密長(cháng)期基于安(ān)全检测引擎，对应用(yòng)进行107项漏洞扫描后存入爱加密大数据平台，周报中(zhōng)仅披露部分(fēn)数据，可(kě)于爱加密大数据平台中(zhōng)查看应用(yòng)市场宏观情况、恶意软件情况、历史通报情况等信息。

本期仅披露应用(yòng)市场宏观情况，11月27日-12月11日期间共更新(xīn)、上新(xīn)移动应用(yòng)约1万款，其中(zhōng)生活实用(yòng)类、办(bàn)公(gōng)學(xué)习类app占比最高，合计占比约47%

11月27日-12月11日期间移动应用(yòng)高风险漏洞主要分(fēn)布于广东省及北京市。

作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，爱加密时刻关注我國(guó)的移动应用(yòng)安(ān)全发展状况，致力于通过优质(zhì)的核心技(jì )术，从行业实践角度着手大力推动我國(guó)移动应用(yòng)生态的良好发展。

END

 

爱加密

爱加密是全球专业的移动信息安(ān)全服務(wù)提供商(shāng),专注于移动应用(yòng)安(ān)全、大数据及物(wù)联网安(ān)全。品牌官网：www.ijiami.cn；服務(wù)電(diàn)话： 4000-618-110