document.write('
')
数字化观察网 - 信息化观察网 - 引领行业改革
菜单导航

安信与诚信息安全通告(1月份)

作者: 数字化观察网 发布时间: 2022年02月20日 23:31:55

《货车宝货车导航》(版本 3.0.10.5,应用宝)

《悦报销》(版本 1.7.7,应用宝)

《科瑞泰 Q 医》(版本 4.3.7,应用宝)。

3、App 在征得用户同意前就开始收集个人信息,涉嫌隐私不合规。涉及 1 款 App 如下:

《猫先生》(版本 3.3.7,360 手机助手)。

4、未提供有效的更正、删除个人信息及注销用户账号功能,或注销用户账号设置不合理条件,涉嫌隐私不合规。涉及 13 款 App 如下:

《小雨点网贷》(版本 2.6.2,360 手机助手)

《团车》(版本 4.5.18,360 手机助手)

《旺街邮》(版本 3.0.13,360 手机助手)

《猫先生》(版本 3.3.7,360 手机助手)

《云上智农》(版本 4.6.1,vivo 应用商店)

《猎云网》(版本 7.0,华为应用市场)

《小红淘》(版本 5.2.1,华为应用市场)

《依康宝》(版本 2.8.49,华为应用市场)

《悠洗》(版本 7.3.6,豌豆荚)

《明医》(版本 1.7.7,豌豆荚)

《交通眼》(版本 7.5.6,小米应用商店)

《悦报销》(版本 1.7.7,应用宝)

《渤海证券》(版本 9.2.2,小米应用商店)。

5、未建立公布个人信息安全投诉、举报渠道,或超过承诺处理回复时限,涉嫌隐私不合规。涉及 4 款 App 如下:

《团车》(版本 4.5.18,360 手机助手)

《猫先生》(版本 3.3.7,360 手机助手)

《新娘说》(版本 3.5.2,OPPO 软件商店

《依康宝》(版本 2.8.49,华为应用市场)。

IT之家了解到,针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违法、违规移动 App,同时要注意认真阅读 App 的用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。

3.2 Cisco StarOS漏洞或有远程代码执行和信息泄露风险

公司专家在内部安全测试期间发现了这项漏洞,未经身份验证的攻击者利用该漏洞可获取远程代码执行(RCE),并获得受攻击设备的root权限。

Cisco公司在官方公告中对该漏洞如此描述:“StarOS Software的RCM漏洞或能允许未经身份验证的远程攻击者在已配置的容器中获得root权限,以此对应用程序执行远程代码。特定服务的调试模式被错误地启用是导致这项漏洞的主要原因。攻击者可以通过连接设备导航到启用调试模式的服务来利用这个漏洞,一旦成功攻击者就能允许获得root权限以执行任意命令。”

思科公司的产品安全事件响应团队(PSIRT)对外证实了该公司尚未受到应用该漏洞的外部攻击。

对于这个漏洞,这家 IT 巨头发布的公告是这样描述的:“此漏洞存在的原因是调试服务错误地侦听和接受传入连接。攻击者可以通过连接到调试端口并执行调试命令来利用此漏洞。攻击成功的话公司敏感的调试信息就会在攻击者眼前一览无余。”

截至目前,思科公司已通过发布适用于StarOS 21.25.4的Cisco RCM补丁解决了这两个漏洞。

3.3 黑客利用Github漏洞伪装成Linus称将发布“元宇宙系统”

1月26日晚,Github上出现以“Linux之父”Linus 为签名的一条消息,称将发布元宇宙系统MetaSoft,会比Linux和Git更伟大,但此后并未上线任何内容。

随后记者查阅相关资料,发现这可能是有人利用了Github漏洞伪装成Linus。

一位业内人士对澎湃新闻表示,“这个有一些技术上奇怪的地方,比如这个notice发布在linux软件仓库的一个下游仓库(forked),并没有被提交到linux主仓库的分支上。如果这个是真的,为什么要放在linux仓库下,而不是开一个新的仓库?”

Linux(全称GNU/Linux)由林纳斯·本纳第克特·托瓦兹(Linus Benedict Torvalds)于1991年首次发布,是一种免费使用和自由传播的类UNIX操作系统,当时的发布被称作开启Linux时代,至今对互联网影响深远。返回搜狐,查看更多

热门标签