网络安全相关资讯，业界发展大事要闻，安在媒体重要发布，甲方社群互动交流，都在安在 · 网安周报。与网安发展同步，采业界资讯共赏，天天见闻，周周必报。

本期焦点

网曝：国内某APP利用漏洞提权窃取用户数据、逃避监管、无法卸载

近日，国内安全研究机构DarkNavy发表文章，其披露了国内某互联网巨头APP利用多个厂商 OEM 代码中的反序列化漏洞进行提权。此APP提权控制手机系统后，会立即开启一系列违规操作，比如绕过隐私合规监管，比如大肆收集用户的隐私信息（包括社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息甚至路由器信息等）。

之后，该 App会利用手机厂商OEM代码中导出的 root-path FileContentProvider，进行System App和敏感系统在应用文件上的读写，进而突破沙箱机制，绕开权限系统，改写系统关键配置文件为自身保活，同时修改用户桌面(Launcher)配置，隐藏自身或欺骗用户实现防卸载。

此外，该APP还能进一步通过覆盖动态代码文件的方式劫持其他应用注入后门执行代码，进行更加隐蔽的长期驻留，甚至还能实现和间谍软件一样的遥控机制，通过远端“云控开关”控制非法行为的启动与暂停，以此来躲避检测。

 

专家点评：

由于没有相关方回应暂时无法确认真实性。而单从事件本身来看利用漏洞越权操作已经涉嫌违法。近年来国家发布了相关法律法规大力治理app安全问题，在这个前提下仍有这种行为，一方面说明这种漏洞利用存在一定隐蔽性，以往app安全范畴重点在隐私条款和抵御外部攻击，较少考虑app本身的恶意行为，app准入和安全检测流程存在优化空间；另一方面处罚方面可能还不够“痛”，不能抵消这种行为带来的利益。这种长期存在且范围较大的违规行为进一步打击了用户对个人信息保护的信心，企业不能为了业务野蛮生长而侵害个人利益，若属实应严惩。

本期特邀专家

姜山 

某投控集团安全负责人姜山

网安行业热点

1、我国将组建国家数据局

数据局负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等。

2、多家网站平台发布防网暴指南手册和网暴治理情况

近一周以来，各重点平台主动向2361名用户发送一键防护提醒，累计拦截涉网暴违法违规信息401万余条，清理不友善等信息7.2万余条，处置账号8511个。

3、美国知名卫星电视服务中断超一周：因遭受勒索攻击

因遭受勒索软件攻击，美国知名卫星电视运营商Dish Network主要业务和网络均告瘫痪，超一周仍未完全恢复，股价大跌20%。

4、知名台企疑似泄漏160GB敏感数据

近日总部位于中国台湾的大型科技企业宏碁公司(Acer Inc.)遭黑客攻击后疑似发生大规模数据泄露，导致总计160GB的大量敏感信息被盗，包括655个目录和2869个文件。

5、中资著名手机品牌疑似被黑，11GB内部敏感数据泄露

地下数据泄露市场用户声称，成功通过故障和错误获得了摩托罗拉移动的JIRA系统备份控制面板访问权限，并窃取了约11GB数据。

6、大疆无人机被检测出16个安全漏洞

Bochum and Saarbrücken 的研究人员在制造商DJI制造的几架无人机中发现了安全漏洞，通过漏洞可更改无人机的序列号，能跟踪无人机及其飞行员，甚至能被远程摧毁。

7、一男子薅羊毛13万被判3年

刘某某雇人制作三款计算机脚本，注册上万个账号用于领取被害单位平台上的追书券，并开网店售卖获利13万余元。最终，被告人刘某某被判处有期徒刑三年，缓刑三年，并处罚金。

8、国内大型支付机构遭黑客攻击，部分用户使用受影响

广州合利宝通过“合利宝商户管家公众号”发布声明，表示在前一日（3月2日）遭到黑客攻击，该攻击造成了个别交易的响应速度变慢，影响部分用户的体验。

9、罚款5万元！长沙首张违反《数据安全法》罚单

2月24日，岳麓公安分局网络安全保卫大队民警发现辖区一家信息科技公司疑似存在网络数据泄露隐患，最终依据《中华人民共和国数据安全法》第四十五条规定，给予该公司行政警告，并处罚款五万元。

1、《证券期货业网络和信息安全管理办法》正式发布

《办法》聚焦网络和信息安全领域，在总结实践经验的基础上，为上位法在证券期货行业的落地实施明确了路径。

2、关于组织开展第七批次工业互联网信创技术与产品测评活动通知

测评为促进工业互联网信创技术与产品质量提升，推动工业领域国产软硬件生态体系建设与完善，加快信创技术和产品在企业推广应用。

1、最高检工作报告

3月7日下午，最高人民检察院在十四届全国人大一次会议上作最高检工作报告。报告说，五年来，检察机关协同公安机关从严惩治电信网络诈骗犯罪，起诉19.3万人。

2、中消协发布《2022年个人信息保护领域消费者权益保护报告》

《报告》指出，当前侵害消费者个人信息权益问题仍需引起社会各方高度重视，其问题主要表现在违反处理的必要性原则、违反个人信息处理质量原则等方面。

3、《上海网络犯罪检察白皮书（2022）》

《白皮书》显示，2022年上海检察机关受理网络犯罪审查逮捕案件2714件4960人，受理审查起诉3599件5843人。监督立案170件，追捕121人，追诉375人。

4、《数据资产价值实现研究报告》发布

报告结合法律、会计、技术、医疗等多个学科和典型的实践应用场景，提出了数据资产的形成条件、价值实现的典型路径、价值评估方法和收益分配方法等。

5、威胁猎人发布《2022年数据资产泄露分析报告》

报告指出，伴随数字化转型深入发展，数据泄露事件的频率、规模和成本也较往年有所上升，对不少企业造成了持续、难以消强的影响。

在Z｜安全狗（北上广深厦等多地）诚招大客户经理、开发运维工程师、Java开发工程师

话题一：今年IOT安全活动围绕IOT、智能硬件、智能汽车等方向开展

话题二：谁有供应链安全的审核指南

1、2022工业互联网技术白皮书-新华三

2、2022年度安全事件观察报告-绿盟科技　　

3、2022年数字化采购与供应商管理白皮书-启信慧眼　　

4、2022年网络安全威胁形势报告（英文版）-欧盟网络安全局　　

5、2023基于系统架构评估的网络弹性度量技术白皮书-紫金山实验室　　

6、2023年网络安全十大趋势预警-奇安信　　

7、2023年重要战略技术趋势-Gartner　　

8、智能汽车数据跨境流动管理探究报告（2022）-中国汽研

本期“在看”全文所述报告、话题、活动议题PPT等各类资料，都已在诸子云知识星球分类归档，即入可取。

在看 | 服务器一夜挤爆！复旦发布中国版ChatGPT出师不利

在看 | 疑似45亿地址信息泄露事件跟进后续

在看 | 欧美大量服务器遭“黑” 网安机构催打补丁

点【在看】的人最好看

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
让资讯触达的更精准有趣：https://www.0xu.cn/