1.App專項治理:100款App違法採集被下架
事件時間:2019年5-11月
事件回顧:
為切實治理個人資訊保護方面存在的亂象,四部委聯合開展“App違法違規收集使用個人資訊專項治理”行動,要求各監管機構對於App運營者收集使用個人資訊時要嚴格履行《網路安全法》規定的責任義務,對獲取的個人資訊保安負責,採取有效措施加強個人資訊保護。
今年5月至11月,各級版權執法部門會同網信、通訊、公安等部門,圍繞當前網際網路版權治理熱點難點開展多個領域專項整治,刪除侵權盜版連結110萬條,收繳侵權盜版製品1075萬件,查處網路侵權盜版案件450件,其中查辦刑事案件160件、涉案金額5.24億元。
其中在公安機關集中整治違法採集個人資訊,包括100款APP被下架。
2.賓士App被爆安全漏洞,可看到其他
事件時間:2019年10月
事件回顧:
賓士車主表示,在10月18日的時候,移動App上出現了不是自己的汽車****,其中所記錄的資訊非常詳細,除了汽車的序號、車主姓名和聯絡方式外,還有位置更新資訊等等。據悉,這一問題持續了幾個小時。
換個說法就是APP給你打開了一扇“窗”,讓你可以窺探到其它賓士車主的生活。
3.同性社交App熱拉洩露530多萬用戶資料
事件時間:2019年3月
事件回顧:
3月28日,熱門同性交友應用熱拉被披露,因其伺服器未受密碼保護,其應用資料庫洩露,涉及530萬用戶的個人資料及隱私資料遭到洩露。
GDI Foundation的安全研究員Victor Gevers表示,該應用包含530萬用戶資料的資料庫被洩露且資料庫自2018年6月就已被洩露。
每條記錄包括使用者暱稱、出生日期、身高和體重、民族、以及性取向和愛好。若使用者授權,記錄還包括使用者的精確地理位置。資料庫另外還包含2000多萬條狀態更新,其中也包含隱私資料。
2017年5月,熱拉曾從應用商店下架。一年後,熱拉又重回應用商店。
Gevers表示,這五百多萬的LGBTQ+人群面臨諸多社會挑戰,這次的資料洩露已存在較長時間,對那些隱私遭到洩露的人造成的傷害更加嚴重。
4.超百家中國網貸App洩漏逾百萬使用者資料
事件時間:2019年7月
事件回顧:
近年來隨著網貸的流行,使用者只需使用手機App便可以輕鬆地借到錢因而也廣受好評。7月,有研究人員發現有大量網貸App洩漏了個人資訊,或將對百萬計使用者造成影響。
據SafetyDetective研究人員Anurag Sen報告稱,網上有一個容量高達889GB的“巨型資料庫”,其中內含超過460萬網貸App使用者資料,包括使用者個人聯絡方式,財務資訊(包括借貸記錄,風險管理資料,交易詳情),除此之外還包括使用者個人聯絡人列表,簡訊記錄,IMEI編號以及相關的容量資料,甚至每次登入時的地理位置都還在不斷更新之中,因此如果有犯罪分子有意對特定使用者進行監控,其甚至可以追蹤使用者的實時位置。這個資料庫位於阿里雲且並未經過加密,研究人員表示這可能會造成大量的個人資料洩漏。
5.Twitter安卓APP出現漏洞,可用1700萬個電話號碼匹配到使用者賬戶
事件時間:2019年12月
事件回顧:
一名安全研究員表示,他利用Twitter安卓應用程式中的一個漏洞,將 1700 萬個電話號碼與Twitter使用者賬戶進行了匹配。
研究人員Ibrahim Balic發現,可透過Twitter的聯絡人上傳功能上傳生成的完整的電話號碼列表。如果使用者在Twitter上上傳了自己的電話號碼那麼平臺就會獲取使用者資料。
Balic表示,Twitter的聯絡人上傳功能不接受連續格式的電話號碼列表,這可能就是為了阻止這種匹配的一種方法。然而,Balic前後相繼生成了 20 多億個電話號碼,然後將這些號碼隨機分配,並透過安卓應用將它們上傳到Twitter上。
在過去的一年裡,Twitter已經發生多起安全事故。今年 5 月份,Twitter承認向一個合作伙伴提供了賬戶位置資料,即使使用者選擇不共享他們的資料。今年 8 月,該公司表示,無意中向其廣告合作伙伴提供了更多的資料。
事件時間:2019年11月
事件回顧:
據悉,該漏洞位於XMPP通訊協議中,駭客可透過合法滲透測試工具訪問WhatsApp流量,解密機密引數並將其轉換為純文字格式。
7“全能車”APP讓共享單車損失3億
事件時間:2019年11月
事件回顧:
上海警方查處了一款名叫“全能車”的APP,據稱該APP造成共享單車公司損失約 3 億元,已有3名犯罪嫌疑人因涉嫌破壞計算機資訊系統罪被批准逮捕。這款號稱“交一次押金即可解鎖多款共享單車”的APP,在表面上“便利”使用者,背後卻隱藏了巨大的安全隱患,甚至還牽涉不正當競爭糾紛……
早在2017年,一款名為“全能車”的APP出現。根據天眼查資訊,該款APP由“深圳前海鴻圖科技有限公司”運營。致力於整合市面上主流共享單車品牌,只需一款軟體繳納一份押金即可使用多種共享單車,最大限度呼叫共享單車資源,幫助使用者減少使用成本。資料顯示,高峰期,該款APP可開啟近20家共享出行企業單車鎖。然而,這樣一款“實惠便民”的APP,卻引來了廣泛質疑。多個共享單車品牌均表示未提供授權,也未開展相關合作。
上海市閔行區警方近日接到相關單車企業報案,稱“全能車”嚴重影響了公司正常服務。接報後,警方組成專案組,對該軟體平臺開展海量資料分析、電子資料勘查取證。經查,這款所謂全能的共享單車軟體,並沒有線下單車實體,實際為侵入報案公司的共享單車伺服器的駭客軟體。操控該軟體的犯罪團伙,以低於共享單車包月服務費的方法吸引使用者,並透過破解其他企業軟體的方式使用各品牌的共享單車。使用者交的錢則進了“全能車”自己的腰包。
今年8月底專案組跨省追蹤,抓獲犯罪嫌疑人李某、張某、胡某等14名犯罪嫌疑人員,現場查獲68臺伺服器。目前,3名犯罪嫌疑人被依法批准逮捕,11名犯罪嫌疑人被依法採取強制措施。據上海警方披露,該軟體造成共享單車公司損失約3億元。
8違規收集兒童隱私 “抖音國際版”TikTok在美受重罰
事件時間:2019年2月
事件回顧:
2019年2月27日,美國聯邦貿易委員會(FTC)釋出一條針對抖音海外版TikTok的處罰,由於其違反了兒童線上隱私保護法案(COPPA),在未經過父母同意的情況下,違規收集13歲以下使用者的姓名、電子郵件以及其他個人資訊,罰款570萬美元。
9墨跡天氣因資料問題IPO失敗
事件時間:2019年10月
事件回顧:
10月11日,證監會發布的第十八屆發審委2019年第142次會議稽核結果公告,公告顯示在此次進行稽核的幾家公司中,僅北京墨跡風雲科技股份有限公司(後文簡稱“墨跡科技”)未透過稽核。
墨跡科技旗下墨跡天氣App是一款天氣類App,擁有5.56億的累計裝機量的墨跡天氣在同類App中佔據龍頭位置。墨跡科技於2016年正式提交申請IPO,卻最終碰壁。碰壁的同時,證監會發審委同時進行了詢問,面對詢問墨跡科技不得不面對自己的問題。
證監會發審委向墨跡科技提出了四點問題,其中第二點問題引起了廣泛關注:獲取使用者資料的手段及方式是否合法合規?使用使用者資料是否合法合規?是否存在侵犯使用者隱私或資料的的情況?是否出現過個人資訊、隱私洩露事件?針對APP專項治理工作組通知指出問題的整改情況及整改效果,是否獲得主管部門的認可?
資料合規問題可以說直接命中了墨跡科技的軟肋。2019年7月16日收到APP專項治理組發出的《關於APP收集使用個人資訊相關問題的通知》;9月份,在公安部網路安全保衛局等多個部門聯合主辦了“2019年網路安全專題釋出會”上墨跡天氣再次因涉嫌超範圍採集公民個人隱私被點名。
10拼多多系統漏洞被薅羊毛損失千萬
事件時間:2019年1月
事件回顧:
1月20日凌晨,拼多多被傳出現重大BUG,使用者可領100元無門檻券。從1月20日凌晨到當天上午9點,拼多多網站每一位註冊使用者可以透過微信渠道、網頁端、QQ渠道等,領取面值為100元的優惠券,該優惠券適用該網站的商品。有使用者發現,使用該優惠券後,充值百元話費可實現用0.46元充值100元話費,且可以透過新賬號的方式無限制領券。於是,大量網友上線以此方式充值。除了話費充值,網友還購買了Q幣、航天鈔、油卡等保值商品,有網友還透過重複註冊賬號的形式,多次反覆領取了拼多多的百元優惠券,有未經證實的截圖顯示,有網友在1月20日當天充值了5萬多元的Q幣和3萬多元的油卡。
11. 蘋果公佈漏洞雙金
2019年12月,蘋果官方公佈了其歷史悠久的私人漏洞賞金計劃,同時將最高獎金提高到100萬美元(比如在具有完整核心並在蘋果最新硬體完整執行的零點選遠端鏈)。這筆將近數目,相比之前私人計劃的,微不足道的最高200,000美元將近而言,已經有了巨大進步。但是這家科技巨頭尋找的是能提交漏洞的完整漏洞利用。其他的獎金範圍從25,000美元到500,000美元,涉及包括Macs,iPhone和iPad以及Apple TV在內的一系列產品。
12. 蘋果漏洞激增
提到蘋果漏洞,iOS漏洞在整個2019年都有出現,其中包括“ AirDoS”漏洞,該漏洞能夠讓附近的駭客可以透過檔案交換功能AirDrop,使iPhone和iPad無法使用。在6月,發現了一個iMessage漏洞,使執行舊版本IOS的iPhone執行速度變慢。另外發現了其他5個iMessage漏洞,這些錯誤不需要使用者進行互動,其中一個漏洞允許遠端攻擊者訪問iOS裝置上儲存的內容。在一次歷經數年的水坑攻擊中,發現有5個漏洞利用連用到了14個iPhone漏洞,其中2個在2月被披露為0 Day 漏洞。
13. WhatsApp起訴NSO集團
2019年5月,WhatsApp被警告在其訊息平臺中發現的0 Day漏洞,攻擊者可以利用該漏洞在特定活動中將間諜軟體植入到受害者的手機中。2019年晚些時候,WhatsApp所有者Facebook起訴了以色列公司NSO Group,指控其自己開發監控程式碼,並使用易受攻擊的WhatsApp伺服器將惡意軟體傳送到大約1,400臺移動裝置,這些移動使用裝置大多屬於全球人權活動家,新聞工作者等其他民間團體成員。NSO總裁後來在一次會議上針對這一問題閃爍其詞。
14. StrandHogg偽裝Android APP
2019年秋天,研究人員發現了一個名為StrandHogg的Android新漏洞,該漏洞可能使惡意軟體偽裝成流行的應用程式並要求各種許可權。使駭客能夠監聽使用者,拍照,閱讀和傳送SMS訊息,並基本上接管了各種功能,彷彿他們就是裝置的所有者。StrandHogg會覆蓋並偽裝成人們經常使用的移動應用程式(比如Facebook)。該漏洞會影響所有Android裝置(包括執行Android 10的裝置),並威脅最受歡迎的前500個應用。
15. Checkra1n 越獄漏洞
16. 行動網路釣魚套件應運而生
2019年4月,移動領域出現了新的趨勢:行動網路優先釣魚。專門針對美國Verizon Wireless客戶的工具包會透過電子郵件向用戶推送網路釣魚連結,並偽裝成來自Verizon客戶支援的訊息。這些是為移動檢視量身定製的:在臺式機上開啟惡意URL時,它看起來草率且顯然不合法-但是,在移動裝置上開啟時,它看起來像Verizon客戶支援應用程式所期望的。
17. 聚焦5G
2019年,5G網路的安全性首次成為熱門話題。5G,作為下一代移動技術有望實現超低延遲和指數級的吞吐量,從而為新的商務場景和應用鋪平道路,例如遠端手術,自動駕駛汽車,按需配電等等。但是,在這些情況下,網路攻擊實際上可能成為生死攸關的問題。隨著5G的許多安全協議和演算法都從先前的4G標準移植而來,研究人員已經發現5G缺陷,例如裝置指紋識別繞過和中間人(MiTM)攻擊。
18. 資料蒐集APP
2019年早些時候,Twitter和Facebook警告說軟體開發工具包(SDK)可以嵌入到移動應用程式中,並用於抓取個人資料資訊,例如電子郵件地址,使用者名稱,性別,最新推文等。這些技術巨頭表示,由oneAudience和MobiBurn維護的SDK違反了兩家公司的資料隱私政策,該政策禁止第三方收集個人資料資訊以用於資料貨幣化。這是在劍橋分析公司(Cambridge Analytica)醜聞之後實施的一項變更,此事圍繞社交媒體隱私產生持續討論。
19. Retina X 跟蹤軟體
在首次打擊“跟蹤器軟體”時,聯邦貿易委員會禁止銷售三個用於監視孩子和僱員的APP,這些APP可以安裝在裝置上以跟蹤其所有者的位置,活動等。這些應用程式來自一家名為Retina-X Studios的公司,聯邦貿易委員會表示,由於這些應用程式被設計在後臺秘密執行,因此特別適合違法活動和危險用途,尤其是在家庭暴力情況下。與此同時,在2019年11月,反跟蹤軟體聯盟成立了,以幫助跟蹤軟體的受害者,涉及跟蹤軟體的案例在2019年增加了300%以上。
20. 生物識別繞過
儘管指紋感測器和Face ID吹捧提供了最佳的移動安全性,但2019年出現了一些技術繞過的情況。例如,三星Galaxy S10指紋感測器在一次駭客攻擊中被欺騙,該駭客從酒杯中克隆了3D列印指紋。三星在今年晚些時候承認,如果將第三方矽殼包裝在手機上,那麼任何人都可以繞過Galaxy S10指紋感測器。去年10月,Google因其Pixel 4面部識別解鎖功能而受到抨擊,有使用者表示即使閉上眼睛也能。而且在八月,有研究人員透露存在繞過蘋果Face ID的方法。
21.索病毒瞄準“王者榮耀”襲擊手機
火到一發不可收拾的《王者榮耀》不光吸粉能力、吸金能力超強,這吸引病毒的能力也非同一般。6月2日,相關機構發現了一款冒充時下熱門手遊《王者榮耀》輔助工具的手機勒索病毒,該勒索病毒被安裝進手機後,會對手機中照片、下載、雲盤等目錄下的個人檔案進行加密,並索要贖金。這種病毒一旦爆發,會威脅幾乎所有安卓平臺的手機,使用者一旦中招,可能丟失所有個人資訊。
從該病毒的形態來看,與PC端大規模肆虐的“永恆之藍”介面極為相似,使用者中招後,桌面桌布、軟體名稱、圖示形態都會被惡意修改,使用者三天不支付,贖金便會加倍,一週不支付,檔案就會被全部刪除! 除此之外,該勒索病毒可能使用的軟體命名包括“王者榮耀輔助”或“王者榮耀前瞻版安裝包”等。
23.個人隱私洩漏引發重視 10款APP上安全“灰名單”
報告顯示,高達96.6%的Android應用會獲取使用者手機隱私權,而iOS應用的這一資料也高達69.3%。使用者更需警惕的是,25.3%的Android應用存在越界獲取使用者手機隱私許可權的情況。越界獲取隱私許可權,是指手機應用在自身功能不必要的情況下獲取使用者隱私許可權的行為。
手機應用越界獲取使用者隱私許可權會帶來巨大的安全風險隱患,如隱私資訊被竊取、使用者資訊被用於網路詐騙、造成經濟損失、手機卡頓現象嚴重等。例如,手機APP隨意訪問聯絡人、簡訊、記事本等應用,可以檢視到使用者的銀行卡賬號密碼等資訊,容易造成使用者手機話費被暗釦和銀行支付賬號被盜。使用者存在手機裡的隱私資料、照片被惡意軟體檢視、竊取,則容易被隱私資訊販賣等網路資訊黑產所利用,進一步導致網路詐騙。
24.高校APP安全狀況調查:僅5個APP出現零次或1次問題
社會上針對安卓平臺的駭客攻擊層出不窮,目前,全國很多高校都擁有了自己校園專屬的APP軟體,如今的高校校園,校園APP已相當普及,成為新一屆大學生們獲取學校資訊、融入校園生活的便捷通道。在此背景下,資訊工程大學對國內20多所高校的安卓平臺移動APP進行了初步審計,發現其中存在著諸多安全問題。
26所高校APP安全狀況調查顯示,出現零次或1次問題的APP數量僅為5個。所收集的移動APP來自26所高校,其中,華北及東北地區6所,西北地區4所,華東地區7所,中南地區5所,西南地區4所;包括9所985工程高校和14所211工程高校。
可以看出,當前校園APP安全形勢不容樂觀,多個方面存在較大安全隱患,校方應針對典型中高危問題進行針對性修復,而APP開發者安全意識則有待加強,安全開發習慣需進一步提高。
25.共享單車使用需謹慎,小心洩漏個人資訊
如今共享單車的大熱方便了人們的出行,但同時也產生了一些新的安全漏洞,可能會給不法分子提供新的作案契機。
在2017國際安全極客大賽GeekPwn年中賽上,浙大計算機系畢業的女“駭客”花了不到一分鐘的時間,攻破了評委手機預裝的小鳴、永安行、享騎和百拜等4款共享單車的App。這意味著,駭客可以利用共享單車App存在的安全漏洞,用別人的賬號遠端騎車,用的也是別人的錢。最重要的是,駭客直接獲取了使用者的賬號密碼、騎行路線、GPS定位、賬號餘額等個人資訊,這些個人資訊的洩露可能導致使用者經常接到推銷電話、垃圾簡訊,嚴重的還有詐騙和其他App賬戶被盜的可能。
26.警惕假“共享充電站” 讓你秒變透明人
在今年流行的共享經濟中,除了共享單車外,同樣火爆的還有共享充電站,儘管在一定程度上緩解了不少手機使用者的燃眉之急,但是其中存在的諸多隱患引起民眾廣泛熱議。
在2017年3·15晚會上,使用免費充電樁被強裝軟體、盜取資訊的現象被曝光。使用者在使用免費充電樁時,手機被安裝惡意程式,駭客由此便可獲取手機內包括通訊錄、相簿等個人資訊,甚至遠端控制支付軟體,不輸密碼就可以購物。
27.駭客利用理財APP漏洞半天提現千萬
2017年2月27日,某金融資訊服務有限公司發現其旗下一款APP軟體被多人利用駭客手段攻擊,半天時間內即被非法提現人民幣1056萬元,遂向公安機關報案。接報後,相關部門立即成立專案組,第一時間派員進駐公司,爭分奪秒開展APP平臺伺服器資料梳理,當日即分析出嫌疑人的作案手法併成功封堵漏洞,為公司和投資人避免了更大損失。
與此同時,專案組全力以赴開展偵查工作。經查,一名嫌疑人利用APP平臺漏洞,使用駭客手段篡改APP充值過程中的請求金額資料,導致平臺入賬金額異常,並迅速進行提現操作實施犯罪。作案得手後,該嫌疑人又透過網際網路傳授作案方法,致使該漏洞被大量傳播利用。
本案屬於利用駭客手段進行網路盜竊的案件,對此相關企業要注重網站系統安全等級提升,加強短期內大額交易稽核力度,一旦發現異常要及時報警。建議相關APP軟體開發企業可以委託專門的網路安全效能測試公司進行內部安全測試,測試過關後再推向市場。
28.可用於詐騙的“相簿”類安卓惡意程式威脅資訊通報
2017年8月07日至8月13日,國家網際網路應急中心透過自主監測和樣本交換形式共發現96個竊取使用者個人資訊的惡意程式變種,感染使用者15491個。該類病毒透過簡訊進行傳播會私自竊取使用者簡訊和通訊錄,對使用者資訊保安造成嚴重的安全威脅。
樣本惡意行為分析:
2)私自向駭客指定的手機號傳送提示簡訊,“軟體安裝完畢識別碼:IMEI號碼,型號,手機系統版本”和“啟用成功”;
3)私自將使用者手機裡已存在的所有簡訊和通訊錄上傳至指定的郵箱;
4)私自接收指定手機號碼發來簡訊控制指令,執行控制指令內容;
29.38 部 Android 手機被預裝了惡意程式
某移動安全公司報告,兩家企業擁有的 38 部 Android 手機被發現預裝了惡意應用。報告沒有披露企業的名字。惡意應用不是廠商提供的官方韌體的一部分,被認為是在供應鏈的某一處加入進去的。
這些Android 手機屬於眾多品牌,包括三星和 LG 的多款手機,小米 4 和紅米、中興 x500、Oppo N3、vivo X6 plus、Nexus 5 和 5x、聯想 S90 和 A850。
該公司的研究人員稱,即使使用者萬分小心,也可能會在不知情下被惡意程式感染。這些惡意程式碼往往會控制感染裝置,讓受害者下載、安裝、執行惡意軟體,從而訪問資料、撥打高額手機號碼。
刷機,將裝置恢復到無公害狀態更新韌體和ROM透過正規官方渠道購買手30.國內手機銀行安全體檢:多款存在高危漏洞,可影響資金安全
一份來自某終端實驗室的研究報告顯示,在對國內多家大型商業銀行的Android端手機銀行APP進行分析後發現:測評的APP普遍存在高危漏洞,使用者在進行轉賬交易時,駭客能夠透過一定的技術手段劫持使用者的轉賬資訊,從而導致使用者的轉賬資金被非法竊取。
通俗點說,就是當你被攻擊者盯上後,你在使用銀行的手機銀行Android APP進行轉賬,明明對方的卡號、姓名、開戶行填寫後反覆檢查沒問題,簡訊提示也顯示正確,但轉完賬一查交易記錄,欸…剛剛的錢怎麼轉給一個陌生名字了?當然,要實現這樣的高難度騙局,也需要一定的條件,大家不用過於恐慌。為避免被惡意利用,漏洞細節暫未公開,實驗室表示已反饋到相關銀行進行修補。
2、儘量選擇安全口碑較好、使用者權益保護良好的銀行辦理業務
3、謹慎使用手機銀行APP執行轉賬等敏感操作,大額轉賬後應和對方確認
4、提高資訊保安意識,保護個人隱私資料。
31.核彈級安卓漏洞爆發 或影響廣泛
12月4號,谷歌透過其官方網站通告了一個高危漏洞CVE-2017-13156(發現廠商將其命名為Janus),該漏洞可以讓攻擊者無視安卓簽名機制,透過繞過應用程式簽名驗證的形式,對未正確簽名的官方應用植入任意惡意程式碼,目前安卓5.0—8.0等版本系統均受影響,預計每日上千萬的活躍安卓應用將存在被利用可能,巨大的潛在威脅風險使得Janus漏洞成為了安卓系統年度大漏洞!
對於使用者來說,Janus高危漏洞意味著手機中的應用將可能被駭客“置換”為非法應用,面臨著資訊洩露或被遠端操控等風險;而對APP應用的開發方來說,自家的官方應用將面臨著被駭客“悄無聲息”惡意植入風險程式的挑戰!