一、监管部门动向:工信部发布App通报;全国网安标委就《网络安全技术关键信息基础设施安全保护能力指标体系》等2项国家标准征求意见 二、安全新闻:某顶级会计师事务所数据遭泄露,海量内部文件曝光;警惕Windows和Android恶意软件的假冒防病毒网站 三、漏洞播报:CVE-2023–52424:WiFi SSID 混淆攻击解析;WordPress plugin BBlog2Social: Social Media Auto Post & Scheduler 安全漏洞 四、移动应用市场宏观情况:6月1日至6月28日期间,各大监管机构统计通报约90款;安卓漏洞检测约50万款
——
监管部门动向
工信部发布关于侵害用户权益行为的App(SDK)通报(2024年第4批,总第39批)
商务部等九部门联合发文:允许符合条件的跨境电商、跨境支付等应用场景数据有序自由流动
2024年6月12日,商务部等九部门联合发布关于拓展跨境电商出口推进海外仓建设的意见,其中指出:要提升跨境数据管理和服务水平。在符合法律法规要求、确保安全的前提下,促进和规范数据跨境流动,允许跨境电商、跨境支付等应用场景数据有序自由流动。鼓励跨境电商、海外仓企业依法依规利用数据赋能产业链上下游,增强生产企业柔性化供应能力。
https://www.gov.cn/zhengce/zhengceku/202406/content_6956847.htm
——
安全新闻
LightSpy 间谍软件工具 macOS 版曝光,可用于窃取各类隐私数据
根据 ThreatFabric 的一份新报告显示,至少从 2024 年 1 月起,一种 macOS 植入程序就开始在野外活动。不过,它目前似乎仅限于在测试环境运行,网络安全研究人员使用的受感染机器屈指可数。
http://www.freebuf.com/news/402317.html
警惕Windows和Android恶意软件的假冒防病毒网站
网络犯罪分子使用与合法杀毒软件提供商非常相似的虚假网站来分发恶意软件。这些网站包括:avast securedownloadload[.]com:此网站提供伪装成Android软件包文件(“Avast.apk”)的SpyNote特洛伊木马程序。一旦安装,该特洛伊木马程序就会请求侵入性权限,例如读取短信和通话日志、安装和删除应用程序、截屏、跟踪位置,甚至挖掘加密货币。
https://cybersecuritynews.com/fake-antivirus-websites-malware/
某顶级会计师事务所数据遭泄露,海量内部文件曝光
某顶级会计师事务所遭遇数据泄露,18900份内部档案被公开,文件大小共222GB。2024年3月,一名为“SubdoMailing”的大规模广告欺诈活动使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件,包括普华永道等知名企业的域名遭到劫持。
——
漏洞播报
CVE-2023–52424:WiFi SSID 混淆攻击解析
CVE-2023–52424(又称 SSID 混淆攻击)已成为无线网络安全的重大隐患。SSID 混淆攻击利用了 IEEE 802.11 标准中的一个设计缺陷,允许客户端设备被诱骗连接到与预期不同的 Wi-Fi 网络。这是可能的,因为网络的 SSID 并不总是经过身份验证,即使网络凭据(密码或其他身份验证机制)经过身份验证。
WordPress plugin BBlog2Social: Social Media Auto Post & Scheduler 安全漏洞(CNNVD-202406-1028)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin BBlog2Social: Social Media Auto Post & Scheduler 7.4.1版本及之前版本存在安全漏洞,该漏洞源于对用户提供的参数转义不足。攻击者利用该漏洞可以从数据库中提取敏感信息。
https://www.wordfence.com/threat-intel/vulnerabilities/id/3b472eb8-9808-4a50-b2b4-0b0b3256053f?source=cve
Microsoft Windows Routing and Remote Access Service 安全漏洞(CNNVD-202406-1145)
——
移动应用市场宏观情况
爱加密长期基于安全检测引擎,对应用进行107项漏洞扫描后存入爱加密大数据平台,本期仅披露部分数据,可于爱加密大数据平台中查看更多应用市场宏观情况、恶意软件情况、历史通报情况等信息。
本期仅披露应用通报情况及安卓漏洞检测情况。6月1日至6月28日期间,各大监管机构统计通报约90款,工业和信息化部占比最高,约46%。
6月1日至6月28日期间,安卓漏洞检测约50万,其中资源文件泄露风险检测占比最高,约14%。
作为国内知名的移动信息安全综合服务提供商,爱加密时刻关注我国的移动应用安全发展状况,长期跟进解读相关文件,从行业实践角度着手大力推动我国移动应用生态的良好发展。
欢迎给我们留言或评论~
我们将持续发布技术解读、解决方案、行业报告
点击关注,不错过下次精彩内容
