10月业务安全月报
导语:随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
一方面,业务安全隐患形式多样,在电商、支付、信贷、账户、交互、交易等形态的业务场景中,存在着各类等欺诈行为;另一方面,欺诈行为日益专业化、产业化,且具有团伙性、复杂性、隐蔽性和传染性等特点。
为了让大家更全面的了解业务安全的风险,顶象自7月起将针对每月的业务安全热点事件进行盘点总结。
国内安全热点
工信部通报 38 款侵害用户权益 App
10 月 13 日消息,为巩固治理成效,营造共同维护消费者权益的良好环境,近期工信部开展 App 侵害用户权益整治“回头看”,组织第三方检测机构对信息弹窗违规推送、App 过度索取权限等问题进行重点抽测,共发现 38 款 App 存在问题,现予以公示。
官方公布的 App 名单中也包括多款比较知名的应用,例如智慧树、2345 浏览器、映客直播、丁香医生、惠头条、免费全本小说书城、铃声多多、YOWA 云游戏等。
2022 年网络交易突发事件应急实战演练启动,阿里、京东、拼多多等参加
10 月 13 日消息,据国家市场监督管理总局消息,为切实做好网络交易突发事件应急处置工作,有效防范化解网络交易突发事件重大风险,维护网络交易秩序,10 月 10 日上午,市场监管总局组织开展 2022 年网络交易突发事件应急实战演练。
此次演练由总局网监司主办,总局办公厅、新闻宣传司,竞争政策与大数据中心,北京、上海、浙江等地市场监管部门及阿里、京东、拼多多等平台企业参加演练。
据介绍,本次演练严格按照《网络交易突发事件应急预案》要求进行,在市场监管总局设置指挥中心,在相关地方市场监管局和平台企业设置分会场,演练模拟线上出现违法销售禁限售商品的突发事件,运用数字化手段,通过“实景拍摄 + 现场模拟”相结合的形式,全过程演练突发事件的事件发生、事件调查、分析研判、III 级应急响应、事件处置、跟踪督导、舆论引导、响应终止等环节。本次演练示范指导效应较强,在最短的时间内,充分发挥了应急处置网络交易突发事件的保障机制。
《信息安全技术 智能手机预装应用程序基本安全要求(征求意见稿)》发布
近日,全国信息安全标准化技术委员会发布了《信息安全技术 智能手机预装应用程序基本安全要求(征求意见稿)》(以下简称《安全要求》)。
《安全要求》给出了智能手机预装应用程序的基本安全要求,适用于智能手机生产企业的生产活动,也可为相关监管、第三方评估工作提供参考。
《安全要求》明确了可卸载范围,指出除系统设置、文件管理、多媒体摄录、接打电话、收发短信、通讯录、浏览器、应用商店等直接支撑操作系统运行或实现智能手机基本功能所必须的基本功能应用程序外,智能手机中其他预装应用程序均应可卸载。实现同一基本功能的预装应用程序,至多有一款可设置为不可卸载。不可卸载应用程序内含有直接支撑操作系统运行或实现智能手机基本功能之外的其他功能时,应提供禁用或卸载这些功能的方式。
五角大楼将奇虎360和知道创宇列入黑名单
五角大楼将奇虎 360、深圳大疆、北京知道创宇和中科曙光等 13 家中国公司列入黑名单。大疆发言人 Adam Lisberg 表示,没有理由将该公司列入黑名单,该公司是唯一一家反对将其无人机产品军用的制造商,大疆从未设计或制造过军用级别的设备。
工信部印发《网络产品安全漏洞收集平台备案管理办法》
10月29日消息,为规范网络产品安全漏洞收集平台备案管理,工业和信息化部近日印发《网络产品安全漏洞收集平台备案管理办法》。办法规定,漏洞收集平台备案通过工业和信息化部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。
办法所称网络产品安全漏洞收集平台,是指相关组织或者个人设立的收集非自身网络产品安全漏洞的公共互联网平台,仅用于修补自身网络产品、网络和系统安全漏洞用途的除外。办法明确,拟设立漏洞收集平台的组织或个人,应当通过工业和信息化部网络安全威胁和漏洞信息共享平台如实填报网络产品安全漏洞收集平台备案登记信息。办法自2023年1月1日起施行。
国外安全热点
微软被曝泄露 2.4TB 客户敏感数据,6.5 万家公司受影响
据报道,网络安全供应商 SOCRadar 最近向微软通报了一次重大数据泄露事件,声称超过 2.4TB 客户敏感数据被泄露,6.5 万家公司受到影响。微软已经承认此事,但辩称 SOCRadar “ 夸大了这次泄露事件的范围和严重程度 ”。
披露称,该次被泄露的数据包括用户姓名、电子邮件地址、电子邮件内容、公司名称和电话号码,以及与受影响客户和微软或微软授权合作伙伴之间的业务文件。
FBI:网络诈骗者可能针对美国学生贷款债务减免申请人
据Bleeping Computer 10月18日消息,FBI发布警告称,网络诈骗分子很可能会利用刚刚施行的美国学生贷款减免计划,对目标群体进行钓鱼攻击。
今年8月,拜登政府正式颁布了学生贷款减免计划,该计划于上周末开始投入测试运行,并于当地时间10月17日正式开放免费申请,目前已有超过800万人提交了减免还款申请。
FBI表示,网络诈骗分子可能建立虚假的申请网站,并向受害者发送符合申请资格的钓鱼邮件和短信,而他们的目的可分为两种,一是搜集受害者个人信息进行其他网络犯罪活动,二是以注册该计划或处理申请为由从中骗取费用。
据悉,美国共有约4500万人申请了学生贷款,总计借贷金额达1.6 万亿美元。拜登表示,超过4000万人将从学生贷款减免计划中受益,受益者中90%的人年收入不足7.5万美元。
澳大利亚零售巨头泄露220万用户数据,并被黑客在线出售
据Security affairs等网站消息,澳大利亚零售巨头Woolworths 批露了近期旗下子公司MyDeal一起影响 220 万用户的数据泄露事件,攻击者已在黑客论坛上发帖出售被盗数据。
根据批露的信息,攻击者使用泄露的用户凭证访问了公司客户关系管理 (CRM) 系统,查看并导出了220万条用户信息。这些数据包括了姓名、电子邮件地址、电话号码、送货地址等信息,部分还涉及用户的出生日期。但MyDeal 声明没有泄露任何支付信息、政府 ID 或帐户密码。
泄露约 30 万用户信息,丰田公开道歉
据路透社报道,丰田汽车公司旗下 T-Connect 服务出现安全事故,近三十万用户的个人信息可能已经被攻击者窃取。泄露的信息类型包括用户的电子邮件地址、客户号码等,影响范围包括 2017 年 7 月以来使用电子邮件地址注册服务的用户。
键盘残余热量可能泄露密码,20秒内拍下键盘热像图,密码泄露86%
英国格拉斯哥大学计算科学学院的副教授穆罕默德·哈米斯(Mohamed Khamis)领导的一个团队开发了ThermoSecure系统,该系统使用红外热像仪来猜测和识别用户最后触摸的键位,然后利用人工智能分析热像图,热像图中越亮的键位,表明它被触摸的时间距离现在越短。这一研究论文发布在即将出版的《ACM隐私与安全交易》杂志中。
研究人员使用该系统可猜测计算机键盘、智能手机屏幕、ATM键盘上的密码和PIN。研究结果非常惊人,在20秒内拍摄热像图时,密码的还原率为86%;30秒内拍摄,密码的还原率为76%;60秒内拍摄,密码还原率为62%。
使用ThermoSecure系统,研究人员可以破解多达16个字符的三分之二的密码。较短的密码更容易被破解:12个字符的密码在82%的时间内被猜到,八个字符的密码被破解的概率是93%。六个字符或更少字符的密码被破解的概率是100%。
iPhone 备忘录被曝莫名清空
近日,多名iPhone用户在社交媒体平台称,自己的苹果备忘录被莫名清空,在苹果云端服务中也无法找回。对此,苹果客服回应,有用户碰到相似情况,苹果会尝试在系统中帮忙回复,不过一些网友标识,即使是联系了苹果支持,也没有找回备忘录内容,并且建议大家使用本地存储备忘录,不要存到云端服务中。
苹果曝严重漏洞,可窃听用户与Siri对话
据The Hacker News 10月27日消息,在苹果近期披露的漏洞中包含了名为SiriSpy的 iOS 和 macOS系统漏洞,使具有蓝牙访问权限的应用程序能够窃听用户与 Siri 的对话。
应用程序开发人员 Guilherme Rambo 在 2022 年 8 月发现并报告了该漏洞,编号为 CVE-2022-32946。
Rambo表示,在使用 AirPods 或 Beats 等设备时,只要请求访问蓝牙权限的都可以记录用户与Siri的对话。而该漏洞与 AirPods 中一项名为 DoAP 的服务有关,该服务用于支持 Siri 和听写功能,从而使攻击者能够制作可通过蓝牙连接到 AirPods 并在后台录制音频的应用程序,且不会显示麦克风的访问请求。
而在 macOS 系统上,该漏洞可能被滥用以完全绕过TCC用户隐私保护框架,这意味着任何应用程序都可以记录用户与 Siri 的对话,且无需请求任何权限。
目前该漏洞已通过系统更新补丁得到修复,涉及的产品包括iPhone8及之后的所有机型;所有的iPad Pro;iPad Air 第 3 代、标准版iPad 第 5 代、iPad mini 第 5 代及后续机型。