一、监管部门动向：工信部针对开屏弹窗等问题检查，通报31款侵害用户权益行为的APP（SDK），上海网信部门处罚一批未尽消费者个人信息保护义务单位

二、安全新闻：火锅界“顶流”1.5亿条会员信息“裸奔”多年！奔驰源代码意外泄露！260亿条个人信息曝光！

三、漏洞播报：微软浏览器、Line、IBM操作系统、Clerk官方Javascript存储库存在漏洞

四、移动应用市场宏观情况：1月1日-2月1日期间188款App因侵权被通报批评，1月19至2月1日期间新上架/更新App多为游戏类应用。

 

一、监管部门动向

 

世界互联网大会2024年新春招待会在京举行

1月25日，世界互联网大会2024年新春招待会在京举行。中国国家互联网信息办公室主任、世界互联网大会理事长庄荣文出席并致辞，中国国家互联网信息办公室副主任牛一兵、王崧、王京涛出席，世界互联网大会秘书长任贤良主持。http://www.cac.gov.cn/2024-01/25/c_1707843566086224.htm

 

工信部通报31款侵害用户权益行为的APP（SDK）

工业和信息化部高度重视用户权益保护工作，近期组织第三方检测机构对用户反映突出的开屏弹窗“乱跳转”、“关不掉”以及违规收集使用个人信息等问题进行检查，共发现31款APP及SDK存在侵害用户权益行为，其中包含多个知名App。爱加密长期关注此类问题，已基于爱加密个人信息检测平台塑造了“摇一摇广告三重检测体系”，即自动化检测、深度模拟传感器检测、机械臂检测，已就此进行深度解读

https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2024/art_b3afc9806f2648b9b6954af57f80b4a4.html

 

上海网信部门处罚一批未尽消费者个人信息保护义务单位，五大类问题值得关注！

本次为地方网信办在全国范围内首次依据《个人信息保护法》自主办理的系列行政处罚案件。目前主要存有五大类问题：1.在收集环节强制要、过度取个人信息问题依然存在。2.在存储环节大量个人信息未加密处于“裸奔”状态。3.在使用传输环节企业随意授权放权管理不到位。4.在管理制度上企业关于个人信息保护措施明显缺失。5.在安全防护上网络信息系统存在安全漏洞

爱加密可提供专业的移动应用个人信息安全检测、移动应用个人信息安全合规评估服务，在《个人信息保护法》问世后持续为我国监管机构提供技术支撑，检测出众多违规App。可帮助应用开发企业在应用发布前评估个人信息的安全性和合规性，避免出现违法违规行为。https://mp.weixin.qq.com/s/B_h-stKolOShBivtNCcBfA

 

 

 

二、安全新闻

1.5亿条会员信息“裸奔”多年！火锅界“顶流”被罚

1月29日，上海市网信办通报称，已依法对一批未有效履行消费者个人信息保护责任、存在严重问题的知名企业予以行政处罚。记者通过采访了解到，作为火锅界“顶流”的某知名火锅连锁品牌赫然在列https://mp.weixin.qq.com/s/1J_6mNclv6ps4vtHn3wIdw。

 

奔驰源代码意外泄露，暴露内部敏感数据

近日，RedHunt 实验室的研究人员发现，梅赛德斯-奔驰无意中留下了可在线访问的私钥，暴露了内部数据，包括公司的源代码。目前尚不清楚数据泄露是否暴露了客户数据。https://www.freebuf.com/news/391047.html

 

史上最大规模数据泄漏事件：260亿条个人信息曝光

近日安全研究人员Bob Dyachenko和Cybernews团队发现了一个名为“泄漏之母”（”Mother of all Breaches，简称MOAB）的超级巨型数据泄露库，该库整合并重新索引了过去几年的泄漏数据，文件体积高达12TB，共260亿条记录，是迄今为止发现的最大规模的数据泄露事件。

https://securityaffairs.com/157933/breaking-news/largest-data-leak-ever.html

 

CISA 发布紧急指令，要求联邦机构解决Ivanti Connect Secure 和 Policy Secure 漏洞

CISA发布了第 24-01 号紧急指令，以应对恶意网络威胁行为者对 Ivanti Connect Secure 和 Ivanti Policy Secure 设备漏洞的广泛和积极利用。该紧急指令指示所有联邦民事机构立即采取具体行动，并实施针对这些 Ivanti 设备的供应商解决方案。https://www.cisa.gov/news-events/news/cisa-issues-emergency-directive-requiring-federal-agencies-mitigate-ivanti-connect-secure-and-policyFreebuf

 

《CCSIP 2023中国网络安全行业全景册》发布，爱加密上榜多个项目

近日， FreeBuf咨询正式发布《CCSIP 2023中国网络安全行业全景册（第六版）》。志在为企业提供更好的网络安全产品选型参考，帮助企业了解中国网络安全技术与市场的发展趋势，爱加密凭借出众的技术实力与服务能力，成功从300余家申报厂商中脱颖而出，入选全景册19大板块！

https://mp.weixin.qq.com/s/L1cXwJmeaeARDQb-AIMVxA

 

 

三、漏洞播报

微软浏览器存在漏洞

Microsoft Edge for Android存在安全漏洞。以下产品和版本受到影响：Microsoft Edge (Chromium-based),Microsoft Edge (Chromium-based) Extended Stable。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21387

 

Line存在漏洞

Line cherub-hair mini-app v13.6.1版本存在安全漏洞，该漏洞源于允许攻击者通过泄露通道访问令牌来发送恶意通知。https://github.com/syz913/CVE-reports/blob/main/CVE-2023-43990.md

 

IBM操作系统漏洞

IBM App Connect Enterprise存在安全漏洞，该漏洞源于允许远程攻击者获取敏感信息。受影响的产品和版本：IBM App Connect Enterprise 11.0.0.1至11.0.0.24版本，12.0.1.0至12.0.11.0版本。

https://www.ibm.com/support/pages/node/7108661

 

Clerk官方Javascript存储库漏洞

Official Clerk JavaScript SDKs 4.7.0版本至4.29.3之前版本存在安全漏洞，该漏洞源于App Router 中的 auth() 或 Pages Router 中的 getAuth() 中存在逻辑缺陷。攻击者利用该漏洞可以升级权限。

https://github.com/clerk/javascript/security/advisories/GHSA-q6w5-jg5q-47vg

 

 

四、移动应用市场宏观情况

爱加密长期基于安全检测引擎，对应用进行107项漏洞扫描后存入爱加密大数据平台，周报中仅披露部分数据，可于爱加密大数据平台中查看应用市场宏观情况、恶意软件情况、历史通报情况等信息。

本期仅披露应用市场宏观情况，1月19日-2月1日期间共更新、上新移动应用约2300款，其中游戏类app占比最高，约60%。

 

2024年1月1日至2月1日总计188款App、SDK因侵犯用户权益被工信部、重庆通管局、四川通管局、重庆网信办批评。涉及问题、应用来源分析及应用名称版本等更多信息请登陆爱加密大数据平台查看。

 

作为国内知名的移动信息安全综合服务提供商，爱加密时刻关注我国的移动应用安全发展状况，致力于通过优质的核心技术，从行业实践角度着手大力推动我国移动应用生态的良好发展。