一周网安动态
Weekly Network Security
2023-05-08 周一
20230501-20230507
LEISHI
# 内容预览 #
政策法规
1、CNCERT发布《“新闻资讯类”App个人信息收集情况测试报告》
2、通知 | 《信息安全技术 终端计算机通用安全技术规范》等3项国家标准公开征求意见
3、通知 | 《汽车整车信息安全技术要求》等4项强制性国家标准公开征求意见
安全事件
1、今年一季度全国网信系统累计约谈网站2203家
2、大量用户反映收到“自己”发来的骚扰广告,淘宝称正排查
3、谷歌出“重拳”打击恶意软件传播以及诈骗活动
4、高通违规获取用户隐私信息
5、三星电子禁止员工使用ChatGPT等生成式AI
6、聊天机器人在内容农场中大量生产垃圾 AI 生成的材料
7、美国窃听风云 | 盘点八大轰动全球的监听事件
8、密码退出历史舞台,谷歌支持 Passkey 登录
9、苹果谷歌联合拟定草案,防止定位追踪设备被滥用
漏洞情报
1、【已复现】Linux Kernel 权限提升漏洞安全风险通告
# 政策法规 #
01
CNCERT发布《“新闻资讯类”
App个人信息收集情况测试报告》
近期,中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“新闻资讯类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店⁽¹⁾累计下载量达到1亿次的“新闻资讯类”App,共计8款。测试结果包含:系统权限调用情况、个人信息上传情况、网络上传流量情况。
消息来源:
02
通知 | 《信息安全技术 终端计算机通用安
全技术规范》等3项国家标准公开征求意见
消息来源:“中国信息安全”公众号
03
通知 | 《汽车整车信息安全技术要求》
等4项强制性国家标准公开征求意见
据工信部网站5日消息,按照《中华人民共和国标准化法》和《强制性国家标准管理办法》,工信部装备工业一司组织全国汽车标准化技术委员会开展了《汽车整车信息安全技术要求》等四项强制性国家标准的制修订,已形成征求意见稿,并向社会各界公开征求意见。征求意见截止日期为2023年7月5日。
消息来源:
# 安全事件 #
01
今年一季度全国网信系统
累计约谈网站2203家
2023年一季度,全国网信系统进一步加大网络执法力度,依法查处网上各类违法违规行为,持续推进“清朗”系列专项行动,坚决依法查处网上各类违法违规行为,累计约谈网站2203家,暂停功能或更新网站48家,下架应用程序55款,关停小程序12款,会同电信主管部门取消违法网站许可或备案、关闭违法网站4208家。
消息来源:
02
大量用户反映收到“自己”发
来的骚扰广告,淘宝称正排查
有网友在社交媒体平台称,在淘宝上有账号盗用自己的真名,并发送垃圾信息给他本人。不少网友表示遇到相关情况,有类似经历的网友怀疑是平台系统 BUG 或用户信息批量泄露。淘宝消费者热线表示,当天已有多名用户已向淘宝反馈了此问题,已在积极排查处理中,暂未排查出相关结果。
消息来源:
https://www.freebuf.com/news/365232.html
03
谷歌出“重拳”打击恶意
软件传播以及诈骗活动
谷歌表示 2022 年期间,为阻止恶意软件传播以及欺诈团伙使用恶意应用程序感染安卓用户的设备,一共封禁了 17.3 万个开发者账户。值得一的是,谷歌对应用程序的审核也变得更加严谨,其发布的“不良应用”年度报告显示,阻止了约 150 万个违反政策的应用程序进入 Google Play 商店。此外,Google Play 的安全团队还阻止了可能导致超过 20 亿美元损失的欺诈和滥用交易。
消息来源:
04
高通违规获取用户隐私信息
据称,芯片巨头高通公司一直在秘密收集私人用户数据,大约三分之一的安卓设备使用了高通制造的芯片,包括三星和苹果智能手机。
消息来源:
https://cybernews.com/news/android-phone-chip-collecting-user-data/
05
三星电子禁止员工使用
ChatGPT等生成式AI
出于安全考虑,三星电子已禁止员工使用ChatGPT、Google Bard和Bing等流行的生成式AI工具,正准备推出内部工具。公司内部备忘录显示,三星电子担心传输到生成式AI平台的数据被存储在外部服务器上,导致其难以被追回和删除,并可能最终被泄露给其他用户。三星电子的新规禁止在公司所属的电脑、平板电脑、电话及内部网络使用生成式AI系统,但不影响出售给消费者的设备,由用户自行决定。
消息来源:
https://www.secrss.com/articles/54264
06
聊天机器人在内容农场中大
量生产垃圾 AI 生成的材料
研究人员发现了近 50 个似乎充斥着人工智能生成的“新闻”内容的网站,他们还警告说,这些内容农场通常会传播虚假叙述。
消息来源:
https://cybernews.com/news/chatbots-ai-generated-content-farm/
07
美国窃听风云 | 盘点八
大轰动全球的监听事件
据外媒称,五角大楼上百份“机密文件”遭泄露,文件内容涉及俄乌冲突等多方面情报,白纸黑字“实锤”了美国深度介入乌克兰军事的行为。此外,文件还显示美国对乌克兰总统泽连斯基与该国官员的内部对话实施了监听,并同时获取了韩国和以色列等国的内部沟通情况,美国此举引发了国际社会震惊和愤怒。
盘点一下近年来美国那些轰动全球的窃听事件:美国水门事件、韩国领导人窃听事件、窃听美联社事件、棱镜计划、联合国监听事件、法国总统监听事件、欧洲多国窃听事件、无差别监听中国手机用户事件、美国为监听行为披上“合法”外衣,法规成了“趁手工具”。
消息来源:
08
密码退出历史舞台,谷
歌支持 Passkey 登录
谷歌又“玩出了”新花样,推出一项名为 Passkey 的新功能,用户可以无需密码,使用更安全、更简单、更快速的方式登录其谷歌账号。据悉, PassKey 是 FIDO 联盟支持的一种更安全的登录应用程序和网站的方式,通过简单使用用户设备上已存的指纹、面部识别等生物特征以及本地 PIN,替代谷歌账号密码。
谷歌指出,当用户登录谷歌账号时,只需要解锁设备就可以直接进入账号,无需再输入密码或进行二次验证,不仅大大节省时间,也极大提高了安全性。此外,与密码不同, PassKey 还可以抵御网络钓鱼、黑客破解等潜在的网络攻击,使其比短信验证更安全。最后, 谷歌建议用户不要在与他人共享的设备上创建 PassKey,此举可能会破坏其所有安全保护。
消息来源:
09
苹果谷歌联合拟定草案,
防止定位追踪设备被滥用
苹果与谷歌在5月3日提交了一份新草案,旨在阻止蓝牙定位追踪设备滥用行为。在两家公司发布的联合新闻稿中表示,首创的规范将允许蓝牙位置跟踪设备与跨 iOS 和安卓平台的未授权跟踪检测及警报兼容。目前三星、Tile、Chipolo、eufy Security 和 Pebblebee 已表示支持该草案。
这预示着,如果制造商采用了基于该草案制定的技术标准,安卓和iOS系统都将支持对未授权的追踪进行报警,比如这两个系统的设备都将能够提醒用户,某个位置的追踪器正被用来通过蓝牙众包、GPS/GNSS定位、WiFi定位、蜂窝定位或通过其他一些方式来监控他们的活动。
消息来源:
https://www.freebuf.com/news/365423.html
# 漏洞情报 #
01
【已复现】Linux Kernel
权限提升漏洞安全风险通告
消息来源:
END
一周网安咨询由雷石安全实验室汇总整理
信息来源:
freebuf、安全客、安全内参、中国信息安全、
cnbeta、seebug,hacknews
如有侵权请联系:admin#unsafe.sh