移动应用安全合规动态:网信办、金管局发文强调数据安全;3月个人信息违规抽查结果出炉!(第五期)

本文主要是介绍移动应用安全合规动态:网信办、金管局发文强调数据安全;3月个人信息违规抽查结果出炉!(第五期),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、监管部门动向:国家互联网信息办公室公布《促进和规范数据跨境流动规定》;

工信部发布《关于网络安全保险典型服务方案目录的公示》

二、安全新闻:恶意软件警报!黑客利用软件即服务攻击印度安卓用户;Cerberus银行恶意软件的虚假Chrome更新

三、漏洞播报:现代CPU架构存在安全漏洞(CVE-2024-2193); Chrome 123、Firefox 124修补程序严重漏洞

四、移动应用市场宏观情况:3月1日-3月31日期间,安卓高危漏洞数量约25万,抽查约2万APP进行个人信息合规检测,其中不合规的约3千。

监管部门动向

国家互联网信息办公室公布《促进和规范数据跨境流动规定》

3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称“《规定》”)。《规定》中提到明确重要数据出境安全评估申报标准,明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件,调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件,延长数据出境安全评估结果有效期,增加数据处理者可以申请延长评估结果有效期的规定。

爱加密已对《规定》进行解读,可点击下图跳转查看,爱加密拥有完善的数据流动安全方案,可降低数据流动环节合规风险。

https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm

工信部发布《关于网络安全保险典型服务方案目录的公示》

3月18日,工业和信息化部官网公布《关于网络安全保险典型服务方案目录的公示》。本批公示的方案共49件,包括36件企业类方案和13件产品服务类方案。(来源:工业和信息化部)

https://www.miit.gov.cn/jgsj/waj/gzdt/art/2024/art_987a9a6576054903b96c96864014ea0f.html

国家互联网信息办公室发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》

3月22日,为了指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同,国家互联网信息办公室编制了《数据出境安全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》,对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。

https://mp.weixin.qq.com/s/gtfMdhK2mrrNvssuqL8xgA

国家金融监督管理总局就《银行保险机构数据安全管理办法》公开征求意见

3月22日,为规范银行保险机构数据处理活动,保障数据安全,促进数据合理开发利用,稳步提升金融服务数字化、智能化水平,保护个人和组织的合法权益,国家金融监督管理总局就《银行保险机构数据安全管理办法(征求意见稿)》(以下简称“《征求意见稿》”)公开征求意见,点击图片可查看针对该文件的解读。

https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1155853&itemId=951&generaltype=2

南京市数据局就《关于推进数据基础制度建设更好发挥数据要素作用的实施意见》及相关文件公开征求意见

3月19日,南京市数据局就《关于推进数据基础制度建设更好发挥数据要素作用的实施意见》(以下简称“《实施意见》”)及相关文件公开征求意见,以加快推进南京市数据基础制度建设,形成数据要素治理新格局。《实施意见》提出,主要目标为探索建立有利于数据安全保护、有效利用、合规流通的数据产权制度和实现路径,开展试点示范。到2025年,建立健全适用于大数据环境下的数据分类分级安全保护制度,扩大数据开放和融合应用,丰富数据产品和数据服务,提高数据要素供给数量和质量。

https://www.nanjing.gov.cn/hdjl/zjdc/yjzj/202403/t20240319_4189331.html

安全新闻

恶意软件警报!黑客利用软件即服务攻击印度安卓用户

该活动经过精心设计,旨在通过伪装成合法应用程序的APK软件包传播恶意软件。一旦安装,恶意软件的目标是盗窃银行信息,短信以及来自受害者设备的其他机密数据。

https://cybersecuritynews.com/malware-alert-hackers-android/

Cerberus银行恶意软件:虚假Chrome更新

Cerberus伪装成假Chrome更新的银行特洛伊木马,诱骗移动端用户下载看起来像Chrome浏览器更新的内容,文件名为“Chrome_update_[随机版本号].apk”或简单的“Chrome.apk。”Cerberus拥有远程访问功能,允许攻击者完全控制受感染的设备。该恶意软件专门窃取财务信息,例如银行登录凭据和信用卡详细信息,。

https://cybersecuritynews.com/beware-of-fake-chrome-update/

恶意软件警报!黑客利用软件即服务攻击印度安卓用户

该活动经过精心设计,旨在通过伪装成合法应用程序的APK软件包传播恶意软件。一旦安装,恶意软件的目标是盗窃银行信息,短信以及来自受害者设备的其他机密数据。

https://cybersecuritynews.com/malware-alert-hackers-android/

GB/T 43697-2024《数据安全技术 数据分类分级规则》发布

3月21日,全国网络安全标准化技术委员会提出并归口的GB/T 43697-2024《数据安全技术 数据分类分级规则》发布(以下简称“《规则》”)。《规则》规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南,适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。(来源:全国网络安全标准化技术委员会)

https://www.tc260.org.cn/front/postDetail.html?id=20240321201412 

漏洞播报

现代CPU架构存在安全漏洞(CVE-2024-2193)

近日,安全研究人员发现支持推测执行功能的现代CPU架构存在名为GhostRace的安全漏洞(CVE-2024-2193)。攻击者可利用该漏洞,通过分支误预测的方式绕过微架构的相关安全机制,将CPU架构中的无竞争区域转变为推测竞争条件(SRC),进而收集目标设备处理器上的敏感信息。目前,Xen团队已针对该漏洞提供了强化补丁,并在X86架构上添加了新的LOCK_HARDEN机制组件,以降低安全风险。


安全提示 - 985.so短网址

Chrome 123、Firefox 124修补程序严重漏洞
3月20日,谷歌和Mozilla宣布了针对数十个漏洞的网络浏览器安全更新,其中包括一个关键严重性缺陷和多个高严重性缺陷。浏览器更新还解决了Swiftshader、Canvas、Downloads和iOS等组件中的五个中等严重性漏洞,以及iOS中的一个低严重性安全漏洞。


https://www.securityweek.com/chrome-123-firefox-124-patch-serious-vulnerabilities/


Fortinet FortiClientEMS存在SQL注入漏洞(CVE-2023-48788)

近日,安全研究人员发现集中式安全管理解决方案Fortinet FortiClientEMS存在SQL注入漏洞(CVE-2023-48788),未经认证的远程攻击者可向服务器发出特制的恶意数据,成功利用此漏洞可在目标系统上执行任意命令。漏洞影响7.2.0 <= FortiClientEMS 7.2 < 7.2.3等版本,目前用户可通过版本升级修复上述漏洞。

安全提示 - 985.so短网址

GitHub Enterprise Server存在命令注入漏洞(CVE-2024-2443)近日,安全研究人员发现自托管平台GitHub Enterprise Server存在命令注入漏洞(CVE-2024-2443),攻击者可以在配置 GeoJSON 设置时,通过命令注入获得对实例的SSH访问权限。漏洞影响GitHub Enterprise Server 3.8 < 3.8.17等版本,目前用户可通过版本更新修复上述漏洞。


安全提示 - 985.so短网址

移动应用市场宏观情况

爱加密长期基于安全检测引擎,对应用进行107项漏洞扫描后存入爱加密大数据平台,周报中仅披露部分数据,可于爱加密大数据平台中查看更多应用市场宏观情况、恶意软件情况、历史通报情况等信息。

本期仅披露安卓高危漏洞数量及个人信息检测情况。3月1日-3月31日期间,Android高危漏洞约25万,存量排名第一的是StrandHogg漏洞,该漏洞较古老,但仍有大量应用未进行针对性修复。

爱加密抽查3月1日-3月31日期间上架及更新App约2万款,其中存在个人信息违规的应用约3千款,核心违规原因为违规收集个人信息。

作为国内知名的移动信息安全综合服务提供商,爱加密时刻关注我国的移动应用安全发展状况,致力于通过优质的核心技术服务监管部门及企业,从行业实践角度着手大力推动我国移动应用生态的良好发展。

END

欢迎给我们留言或评论~

我们将持续发布技术解读、解决方案、行业报告

点击关注,不错过下次精彩内容

这篇关于移动应用安全合规动态:网信办、金管局发文强调数据安全;3月个人信息违规抽查结果出炉!(第五期)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/905779

相关文章

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

水位雨量在线监测系统概述及应用介绍

在当今社会,随着科技的飞速发展,各种智能监测系统已成为保障公共安全、促进资源管理和环境保护的重要工具。其中,水位雨量在线监测系统作为自然灾害预警、水资源管理及水利工程运行的关键技术,其重要性不言而喻。 一、水位雨量在线监测系统的基本原理 水位雨量在线监测系统主要由数据采集单元、数据传输网络、数据处理中心及用户终端四大部分构成,形成了一个完整的闭环系统。 数据采集单元:这是系统的“眼睛”,

第10章 中断和动态时钟显示

第10章 中断和动态时钟显示 从本章开始,按照书籍的划分,第10章开始就进入保护模式(Protected Mode)部分了,感觉从这里开始难度突然就增加了。 书中介绍了为什么有中断(Interrupt)的设计,中断的几种方式:外部硬件中断、内部中断和软中断。通过中断做了一个会走的时钟和屏幕上输入字符的程序。 我自己理解中断的一些作用: 为了更好的利用处理器的性能。协同快速和慢速设备一起工作

csu 1446 Problem J Modified LCS (扩展欧几里得算法的简单应用)

这是一道扩展欧几里得算法的简单应用题,这题是在湖南多校训练赛中队友ac的一道题,在比赛之后请教了队友,然后自己把它a掉 这也是自己独自做扩展欧几里得算法的题目 题意:把题意转变下就变成了:求d1*x - d2*y = f2 - f1的解,很明显用exgcd来解 下面介绍一下exgcd的一些知识点:求ax + by = c的解 一、首先求ax + by = gcd(a,b)的解 这个

hdu1394(线段树点更新的应用)

题意:求一个序列经过一定的操作得到的序列的最小逆序数 这题会用到逆序数的一个性质,在0到n-1这些数字组成的乱序排列,将第一个数字A移到最后一位,得到的逆序数为res-a+(n-a-1) 知道上面的知识点后,可以用暴力来解 代码如下: #include<iostream>#include<algorithm>#include<cstring>#include<stack>#in

动态规划---打家劫舍

题目: 你是一个专业的小偷,计划偷窃沿街的房屋。每间房内都藏有一定的现金,影响你偷窃的唯一制约因素就是相邻的房屋装有相互连通的防盗系统,如果两间相邻的房屋在同一晚上被小偷闯入,系统会自动报警。 给定一个代表每个房屋存放金额的非负整数数组,计算你 不触动警报装置的情况下 ,一夜之内能够偷窃到的最高金额。 思路: 动态规划五部曲: 1.确定dp数组及含义 dp数组是一维数组,dp[i]代表

zoj3820(树的直径的应用)

题意:在一颗树上找两个点,使得所有点到选择与其更近的一个点的距离的最大值最小。 思路:如果是选择一个点的话,那么点就是直径的中点。现在考虑两个点的情况,先求树的直径,再把直径最中间的边去掉,再求剩下的两个子树中直径的中点。 代码如下: #include <stdio.h>#include <string.h>#include <algorithm>#include <map>#

【区块链 + 人才服务】可信教育区块链治理系统 | FISCO BCOS应用案例

伴随着区块链技术的不断完善,其在教育信息化中的应用也在持续发展。利用区块链数据共识、不可篡改的特性, 将与教育相关的数据要素在区块链上进行存证确权,在确保数据可信的前提下,促进教育的公平、透明、开放,为教育教学质量提升赋能,实现教育数据的安全共享、高等教育体系的智慧治理。 可信教育区块链治理系统的顶层治理架构由教育部、高校、企业、学生等多方角色共同参与建设、维护,支撑教育资源共享、教学质量评估、

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

AI行业应用(不定期更新)

ChatPDF 可以让你上传一个 PDF 文件,然后针对这个 PDF 进行小结和提问。你可以把各种各样你要研究的分析报告交给它,快速获取到想要知道的信息。https://www.chatpdf.com/