国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,近期通过互联网监测发现16款移动App存在隐私不合规行为。
1、隐私政策难以访问、未声明App运营者的基本情况。涉及9款App如下:
《小鹿组队电竞陪玩》(版本3.7.1,360手机助手)、
《168运友物流》(版本3.9.93,应用宝)、
《天水秦州村镇银行》(版本3.0.7,vivo应用商店)、
《esc模拟社恐快逃》(版本2.1.8,百度手机助手)、
《懂球圈》(版本1.3.0,应用宝)、
《学法减分笔记》(版本1.0.5,vivo应用商店)、
《中峪数交》(版本1.2.9,应用宝)、
《全能CAD手机看图王》(版本2.0.1,360手机助手)、
《多语游外语学习》(版本1.0,百度手机助手)。
2、隐私政策未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等。涉及8款App如下:
《小鹿组队电竞陪玩》(版本3.7.1,360手机助手)、
《易面酷》(版本2.1.0,应用宝)、
《168运友物流》(版本3.9.93,应用宝)、
《智慧狐》(版本3.4.10,vivo应用商店)、
《esc模拟社恐快逃》(版本2.1.8,百度手机助手)、
《山西信托》(版本2.8.5,应用宝)、
《多语游外语学习》(版本1.0,百度手机助手)、
《健康诺时邦》(版本1.4.5,360手机助手)。
3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,未取得个人的单独同意。涉及6款App如下:
《皓俊通货主端》(版本1.1.71,应用宝)、
《天水秦州村镇银行》(版本3.0.7,vivo应用商店)、
《智慧狐》(版本3.4.10,vivo应用商店)、
《esc模拟社恐快逃》(版本2.1.8,百度手机助手)、
《山西信托》(版本2.8.5,应用宝)、
《健康诺时邦》(版本1.4.5,360手机助手)。
4、App未建立并公布个人信息安全投诉、举报渠道。涉及1款App如下:
《中峪数交》(版本1.2.9,应用宝)。
5、基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者未提供便捷的撤回同意的方式;向用户提供撤回同意收集个人信息的途径、方式,未在隐私政策等收集使用规则中予以明确。涉及10款App如下:
《小鹿组队电竞陪玩》(版本3.7.1,360手机助手)、
《易面酷》(版本2.1.0,应用宝)、
《司小宝》(版本4.9.7,小米应用商店)、
《运小满·物流助手》(版本4.1.1,应用宝)、
《懂球圈》(版本1.3.0,应用宝)、
《中峪数交》(版本1.2.9,应用宝)、
《全能CAD手机看图王》(版本2.0.1,360手机助手)、
《山西信托》(版本2.8.5,应用宝)、
《多语游外语学习》(版本1.0,百度手机助手)、
《健康诺时邦》(版本1.4.5,360手机助手)。
6、处理敏感个人信息未取得个人的单独同意。涉及2款App如下:
《168运友物流》(版本3.9.93,应用宝)、
《健康诺时邦》(版本1.4.5,360手机助手)。
7、个人信息处理者处理不满十四周岁未成年人个人信息的,未制定专门的个人信息处理规则。涉及3款App如下:
《懂球圈》(版本1.3.0,应用宝)、
《多语游外语学习》(版本1.0,百度手机助手)、
《健康诺时邦》(版本1.4.5,360手机助手)。、
针对上述情况,国家计算机病毒应急处理中心提醒广大手机用户首先谨慎下载使用以上违规移动App,同时要注意认真阅读其用户协议和隐私政策说明,不随意开放和同意不必要的隐私权限,不随意输入个人隐私信息,定期维护和清理相关数据,避免个人隐私信息被泄露。
注:文中所列App检测时间为2024年11月18日至12月31日
文章来源自:国家计算机病毒应急处理中心监测
Fragmented data from multiple scanners, siloed risk scoring and poor cross-team collaboration are leaving organizations increasingly exposed to breaches, compliance failures and costly penalties, according to Swimlane. The relentless surge of vulnerabilities is pushing security teams to their limits, forcing them to manage overwhelming volumes of risk with tools and processes that are no longer adequate. Swimlane surveyed 500 cybersecurity decision-makers in the US and the UK to uncover how vulnerability management teams are coping … More →
The post Critical vulnerabilities remain unresolved due to prioritization gaps appeared first on Help Net Security.
最新发现开源漏洞扫描器 Nuclei 中现已修复的漏洞可能允许攻击者绕过签名验证,同时将恶意代码潜入在本地系统上执行的模板中。
Nuclei 是 ProjectDiscovery 创建的一款流行的开源漏洞扫描程序,可扫描网站是否存在漏洞和其他弱点。该项目使用基于模板的扫描系统,该系统包含 10,000 多个 YAML 模板,可扫描网站是否存在已知漏洞、错误配置、暴露的配置文件、Webshell 和后门。
YAML 模板还包括一个代码协议,可用于在扩展模板功能的设备上本地执行命令或脚本。每个模板都使用摘要哈希进行“签名”,Nuclei 使用摘要哈希来验证模板是否未被修改以包含恶意代码。该摘要哈希以以下形式添加到模板的底部:
# digest:漏洞绕过 Nuclei 签名验证
Wiz 研究人员发现了一个名为 CVE-2024-43405 的新 Nuclei 漏洞,即使模板被修改为包含恶意代码,该漏洞也会绕过 Nuclei 的签名验证。
该问题是由基于 Go 正则表达式的签名验证以及 YAML 解析器在验证签名时处理换行符的方式引起的。当验证签名时,Go 的验证逻辑将 \r 视为同一行的一部分。
但是,YAML 解析器将其解释为换行符。这种不匹配允许攻击者注入绕过验证但在 YAML 解析器处理时仍会执行的恶意内容。另一个问题是 Nuclei 如何处理多个 #digest: 签名行,因为该过程仅检查模板中第一次出现的 #digest:,而忽略模板中稍后发现的任何其他内容。
可以通过在包含恶意“代码”部分的初始有效摘要之后添加额外的恶意“#digest:”有效负载来利用此漏洞,然后在使用模板时注入并执行该有效负载。
Wiz 研究员解释说:“有了关于不匹配换行符解释的见解,我们制作了一个模板,利用 Go 的正则表达式实现和 YAML 解析器之间的差异。通过使用 \r 作为换行符,可以在模板中包含第二个 # 摘要:行,该行可以逃避签名验证过程,但由 YAML 解释器解析并执行。”
不同解析器如何解析 Nuclei 模板的示例
Wiz 于 2024 年 8 月 14 日向 ProjectDiscovery 披露了该漏洞,并于 9 月 4 日在 Nuclei v3.3.2 中对其进行了修复。如果使用的是旧版本的 Nuclei,安全研究人员强烈建议用户更新最新版本。此外,Goldenberg 还建议在虚拟机或隔离环境中使用 Nuclei,以防止恶意模板的潜在利用。