本周BUF大事件还是为大家带来了新鲜有趣的安全新闻,苹果蓝牙追踪器AirTag被研究人员破解;国家网信办发布《汽车数据安全管理若干规定(征求意见稿)》;1.28亿iOS用户被攻击,苹果却对此进行隐瞒;工信部通报侵害用户权益行为APP名单。想要了解详情,来看本周的BUF大事件吧!
上个月苹果发布了名为AirTag的蓝牙追踪器,帮助人们跟踪错放位置的物品。仅仅过去几天,这款蓝牙追踪器就被德国网络安全研究员Thomas Roth成功破解。根据演示视频,安全研究员可以对AirTag进行重新编程修改固件,调整了AirTag的功能使其处于“丢失模式”,当具有支持NFC功能的手机进行扫描时,AirTag会显示一条通知,并跳转到found.apple.com网站显示有关AirTag所有者的信息。苹果在发布AirTag时曾谈到隐私和安全性是AirTag的核心诉求,期待苹果后续如何回应这一问题。
5月12日,国家互联网信息办公室发布关于《汽车数据安全管理若干规定(征求意见稿)》公开征求意见通知。意见稿称,“运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外”,倡导运营者处理个人信息和重要数据过程中坚持“默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效”等。征求意见稿在5月12日-6-11日向社会公开征求意见,公众可以通过中国政府法制信息网和电子邮件等方式提出反馈意见。
近期,Epic Games在跟苹果打官司的过程中提交的一份电子邮件,披露出有史以来最严重的iOS被黑事件。邮件显示:2015 年,一个被恶意软件感染的 Xcode 版本开始在中国流传,带有恶意软件的“XcodeGhost”应用进入了苹果的App Store。已知当时受感染的iOS应用有50多个,包括微信、网易、滴滴打车等重要应用,共有 1.28 亿用户下载了带有恶意软件的应用。而苹果方面却对此次恶意软件攻击一直保密,没有透露任何关于此次攻击活动的细节内容。
2021年4月23日,工业和信息化部向社会通报了93家存在侵害用户权益行为APP企业的名单。截至到5月13日,尚有39款APP未按要求完成整改。另外各通信管理局按工信部APP整治行动部署,积极开展手机应用软件监督检查,内蒙古、安徽、广东、四川、浙江省(自治区)通信管理局检查发现共有46款APP仍未完成整改。此外,在近期检测中,工业和信息化部发现天涯社区、大麦、途牛旅游、VIP陪练、脉脉5家企业在APP不同版本中反复出现同类问题,工业和信息化部将依法暂停其违规行为,予以直接下架处理。