一、监管部门动向:全国网安标委发布《网络安全标准实践指南-大型互联网平台网络安全评估指南》;工信部发布《关于侵害用户权益行为的App(SDK)通报》 二、安全新闻:SpyMax RAT通过Telegram攻击安卓用户以逃避检测;黑客滥用API验证数百万Authy MFA电话号码 三、漏洞播报:Android上的25个新漏洞:Google的紧急补丁已经可用;CocoaPods 中的严重缺陷导致 iOS 和 macOS 应用程序遭受供应链攻击 四、移动应用市场宏观情况:6月1日-6月30日期间,各大监管机构统计通报约130款,移动应用市场共更新、上新移动应用约4万款。
——
监管部门动向
工信部发布《关于侵害用户权益行为的App(SDK)通报(2024年第5批,总第40批)》
6月28日,工业和信息化部在组织第三方检测机构进行抽查后,共发现24款App及SDK存在侵害用户权益行为(详见附件),予以通报。涉及问题主要包括:违规收集个人信息、App强制、频繁、过度索取权限、App频繁自启动和关联启动、信息窗口“摇一摇”乱跳转、信息窗口未提供关闭或退出标识、超范围收集个人信息、SDK使用说明不完整等。
https://www.miit.gov.cn/jgsj/xgj/fwjd/art/2024/art_11c286ebaee84d309eca53aca8d5d5d8.html
中共广东省委办公厅等部门印发《关于构建数据基础制度推进数据要素市场高质量发展的实施意见》
上海市网信办发布《咖啡消费场景违法违规收集使用个人信息案例解析》(一)
https://mp.weixin.qq.com/s/AJ1D5on8Z9h8GxZ2LXGh6Q
——
安全新闻
黑客滥用API验证数百万Authy MFA电话号码
一个不安全的API端点允许威胁行为者验证数百万Authy多因素身份验证用户的电话号码,这可能会使他们容易受到短信钓鱼和SIM交换攻击。Authy是一款移动应用程序,可在启用MFA的网站上生成多因素身份验证码。6月下旬,一位名叫ShinyHunters的威胁演员泄露了一份CSV文本文件,其中包含他们声称在Authy服务注册的3300万个电话号码。
https://www.bleepingcomputer.com/news/security/hackers-abused-api-to-verify-millions-of-authy-mfa-phone-numbers/
SpyMax RAT通过Telegram攻击安卓用户以逃避检测
新的Android RAT(远程管理工具),名为SpyMax,针对Telegram用户。它不需要根设备,更容易感染受害者。从设备中窃取个人数据,并将其发送到攻击者控制下的远程服务器,攻击者使用网络钓鱼技术诱骗用户下载冒充合法Telegram应用程序的恶意应用程序,一旦安装,它就会隐藏为常规Telegram应用以避免被检测。
https://cybersecuritynews.com/spymax-rat-telegram-android-attack/
新型 Android 恶意软件 Snowblind 成为强大的数据窃取者
自今年年初以来,Android 恶意软件 Snowblind 一直在积极开展活动针对东南亚用户。该恶意软件针对基于 Linux 内核功能“seccomp”的 Android 应用程序。在目标设备上获得持久性,以应用程序为目标并操纵系统调用。它甚至可能从设备窃取数据,包括登录凭据和财务信息,并劫持用户会话。
——
漏洞播报
Android上的25个新漏洞:Google的紧急补丁已经可用
谷歌提交了操作系统的安全更新安卓解决25个漏洞,其中包括Framework中的三个权限提升漏洞、System中的三个权限提升漏洞和System中的一个泄漏漏洞。其中一个是严重的,被指定为CVE-2024-31320,影响Android 12和12L版本,使攻击者能够提升受影响设备上的权限。
CocoaPods 中的严重缺陷导致 iOS 和 macOS 应用程序遭受供应链攻击
Swift 和 Objective-C Cocoa 项目的CocoaPods依赖管理器中发现了三个安全漏洞,可能被利用来发起软件供应链攻击,使下游客户面临严重风险。这些漏洞允许“任何恶意行为者声称拥有数千个无人认领的 pod,并将恶意代码插入许多最受欢迎的 iOS 和 macOS 应用程序中。
——
移动应用市场宏观情况
爱加密长期基于安全检测引擎,对应用进行107项漏洞扫描后存入爱加密大数据平台,本期仅披露部分数据,可于爱加密大数据平台中查看更多应用市场宏观情况、恶意软件情况、历史通报情况等信息。
本期仅披露个人信息违规问题及移动应用市场情况。6月1日-6月30日期间,各大监管机构统计通报约130款,其中安卓应用通报占比最高,约86%。
6月1日-6月30日期间,移动应用市场共更新、上新移动应用约4万款,其中广东省占比最高,约39%。
作为国内知名的移动信息安全综合服务提供商,爱加密移动应用大数据平台助力我国网络安全事业的建设与发展,帮助应用开发者及运营者收集应用相关数据,协助企业对应用进行安全管控。通过对应用个人信息违规行为进行自动化检测、对风险内容进行自动化识别,可帮助高效识别应用的风险情况,为企业业务、监管部门的正常运行保驾护航。
欢迎给我们留言或评论~
我们将持续发布技术解读、解决方案、行业报告
点击关注,不错过下次精彩内容
