国内外简报industry briefing

国内外信息安全简报2018年第二十五周

恒安嘉新

本周共收集整理国内外安全信息9例,具体如下:

1.物联网产业规模将达到9万亿 网络安全投入却不足3%

万物互联的智慧生活渐行渐近,物联网是现代科技高度集成和综合运用的体现,对新时代产业变革和社会经济发展具有决定性位置。当前,物联网设备呈现指数级增长态势,然而在物联网高速增长下,安全问题却暴露出来。根据研究机构Gartner 公司的调查,2017年全球有84亿台物联网产品正在使用,比2016年增长31%,预计到2020年将达到204亿台。预计到2020年,物联网预计将产生惊人的经济影响,其市场规模高达8.9万亿美元,如果安全问题不能够很好解决,那么物联网设备所承担的风险将无法估量。(详情链接

2.黑客宣布无条件删除A站泄露数据库

6月13日晚,曾扬言要分阶段公开A站被泄漏用户信息的黑客,在地下论坛发帖表示:出于A站客服态度诚恳,以及对于二次元世界的热爱,决定无条件删除数据库。在帖子中,他们还表示,从来没有把数据库出售给任何一个人,对于此前公布的300名用户的信息,他们也表示抱歉。(详情链接

3.工信部公布46款手机App“黑名单”,涉强行捆绑推广应用软件

6月13日,工信部发布关于电信服务质量的通告(2018年第2号)。通告显示,一季度,工信部组织对56家手机应用商店的4万款应用软件进行技术检测,发现违规App 46款。所涉问题主要包括强行捆绑推广其它应用软件;未经用户同意,收集、使用用户个人信息;用户不知情的情况下,自动向外发送短信等。此次下架的46款不良应用中,不乏一些知名APP,例如,“今日头条新闻”、“QQ同步管理助手”、“安卓优化大师”等。具体来看,应用商店“免费市场”中,今日头条新闻V1.0.0、经典连连看V9.0.0等6款应用,涉及强行捆绑推广其他应用软件;应用商店“久友下载站”中,QQ同步管理助手V5.2.0、懒人听讲座V3.0.0等5款应用,涉及强行捆绑推广其他应用软件;应用商店“找游戏手游网”中,“我的世界”(我的海盗船世界)V1.0,则涉及在用户不知情的情况下,自动向外发送短信。(详情链接

4.苹果macOS系统曝出存在长达11年的安全漏洞

来自身份管理软件公司Okta的研究与开发工程师 Josh Pitts在本周二(6月12日)公开披露了一个在苹果macOS系统中存在了长达11 年之久的安全漏洞,该漏洞可能使得恶意软件能够更容易地绕过安全检查,并导致数百万苹果用户更加容易遭受黑客攻击。Pitts表示,他在第三方安全产品对代码签名API的解释中找到了一个旁路,使未签名的恶意代码看起来像是由苹果官方签署的。这意味着,某些安全产品可能会因遭受“欺骗”而误以为恶意软件是由苹果签署的,进而允许恶意软件绕过其检测,从而感染用户设备。(详情链接

5.航旅纵横App在泄露隐私边缘试探

航旅类App航旅纵横因最近上线的“虚拟客舱”功能引发争议。通过这个功能,用户可以查看同舱乘客的历史飞行地点及频率等信息,还可以与同客舱的乘客进行私聊。有网友担心,该功能存在隐私泄露隐患。“目前已将虚拟个人主页设为默认关闭状态,产品后续将会进一步改进”,航旅纵横昨日下午就此致歉并回应。(详情链接

6.苹果禁止开发者随意分享iPhone用户数据

据外媒AppleInsider报道,苹果公司在WWDC期间更新的App Store审核指南中的一个基本未被注意到的变化是禁止开发者利用收集的联系人信息构建他们自己的数据库,或未经许可而共享它们。根据新规则,开发人员不仅被禁止根据收集的联系人信息创建、共享或销售数据库,而且必须明确使用联系人数据来表达他们的意见的原因,除非他们获得进一步的许可。(详情链接

7.51Job百万条用户信息外泄?暗网售价12个比特币

6月15日,澎湃新闻(www.thepaper.cn)记者发现,前程无忧51Job.com(Nasdaq:JOBS)用户信息在暗网上被公开销售,黑客甚至展示了部分样本数据,包括邮箱、密码、真实姓名、身份证号码、电话等。前程无忧方面向澎湃新闻记者证实,部分用户账户密码被撞库,但否认该公司数据被拖库。前程无忧同时介绍了该公司对用户信息安全的管理方式。据称,前程无忧的用户密码是加密串,非本人无法从前程无忧获取登录密码、进入他人账户,即使数据库的管理人员也无法获取。此外,前程无忧已经在几年前建立起密码碰撞库,用户必须重设密码(暗码)才能进入在51job的账户。前程无忧表示,此次涉及的用户是多年未登陆51job,没有重设密码的。(详情链接

8.GDPR时代来临后,英国Dixons Carphone公布严重数据泄露事件

英国家喻户晓的Dixons Carphone (跨国电信公司)13日宣布正在调查“大量客户数据被非法访问”事件。官方对事件的具体描述为黑客“试图在Currys PC World和Dixons旅行商店的一个处理系统中破坏客户590万张卡和120万张包含非财务数据的记录,如姓名、地址或电子邮件地址……”这可能是英国有史以来最大的数据泄露事件。(详情链接

9.谷歌新规:禁止从第三方来源安装Chrome扩展程序

之前谷歌决定禁止Windows用户从Chrome网上应用店(Web Store)之外的第三方网站直接安装Chrome扩展程序。而根据谷歌的最新规定,从今年夏天开始,所有平台上的用户都不能从官方应用店之外安装Chrome扩展程序。谷歌指出,在Chrome网上应用店内有说明资料和功能列表,它们能帮助用户做决定,让他们知道是否真的需要安装某个扩展程序。谷歌发现,如果用户是从官方扩展程序入口进入的,安装附加程序之后卸载的机率更低。对于2018年6月12日(北京时间13日)发布的扩展程序,谷歌禁止使用“内联式安装”(inline installations)功能。从9月12日开始,现有扩展程序也会禁用此功能。如果用户在网络上其它地方点击链接,只会引导到Chrome Web Store,不能从开发者网站或者其它网站直接安装。2018年12月初,在Chrome 71浏览器中谷歌会完全删除“内联式安装”功能API,到时开发者再也不能使用该选项。(详情链接