3月第1周業務風控關注 工信部曝光695款違規App近九成涉捆綁推廣

易盾業務風控週報每週呈報值得關注的安全技術和事件，包括但不限於內容安全、移動安全、業務安全和網路安全，幫助企業提高警惕，規避這些似小實大、影響業務健康發展的安全風險。

1、全國“掃黃打非”辦公部署開展“淨網2019”“護苗2019”“秋風2019”專項行動

為貫徹落實2019年“掃黃打非”行動方案和第三十二次全國“掃黃打非”工作電視電話會議精神，近日，全國“掃黃打非”辦公室作出專門部署，要求各地各部門緊緊圍繞慶祝新中國成立70週年主線，於3月至11月大力組織開展“淨網2019”“護苗2019”“秋風2019”等專項行動，持續淨化社會文化環境。

全國“掃黃打非”辦公室強調，開展“淨網2019”專項行動，將聚焦整治網路色情和低俗問題，通過強化司法打擊、行政管理、行業規範、道德約束等多種手段綜合施策，綜合治理。著重整治網路文學領域，加強對文學網站的監管，規範網站編輯和作者管理，嚴打利用微信公眾號、微博、貼吧、論壇等渠道引流低俗內容的行為。嚴查淫穢視訊打賞平臺，堅決打擊建立平臺、釋出連結人員及參與傳播的下線代理。繼續嚴厲打擊非法網路直播平臺，嚴懲通過直播平臺傳播淫穢物品、組織淫穢表演的犯罪分子，堅決關停違法直播及聚合軟體。

2、訊息稱抖音海外版 Tik Tok 在英國正在成為虐童者的狩獵場 在美國被重罰

繼之前美國科技媒體The   Verge報導印度封禁抖音，稱其導致該國年輕人"文化墮落"報導後，目前，抖音海外版—TikTok這樣的流行視訊和視訊直播應用程式正受到英國兒童慈善機構的抨擊。國家防止虐待兒童協會(NSPCC)的一名發言人上週末表示:“很多虐待兒童的人正在通過TikTok等流行的直播應用程式與大量兒童接觸，這些人把這些應用程式當作狩獵場。”NSPCC稱，他們對4萬名小學生進行了調查，發現25%的孩子與陌生人進行過直播，並且每20個孩子中就有一個在直播或視訊評論時被要求脫掉衣服。

真是禍不單行，2019年2月27日，美國聯邦貿易委員會（FTC）釋出一條針對抖音海外版TikTok的處罰，由於其違反了兒童線上隱私保護法案（COPPA），在未經過父母同意的情況下，違規收集13歲以下使用者的姓名、電子郵件以及其他個人資訊。目前TikTok運營方已經同意支付這張罰單以解決這項指控。

抖音方面為迎合監管要求，抖音海外版TikTok於近日調整了兒童隱私保護條款，將某些註冊年齡小於  13 週歲的使用者擋在了門外。如果你錯誤輸入了自己的出生年份，或導致賬戶視訊內容在沒有任何警告的情況下被刪除。此前，TikTok   與美國聯邦貿易委員會（FTC）達成了和解，在新政策下全力遵守兒童線上隱私保護法案（COPPA）。

3、國家網信辦近兩個月累計清理有害資訊4437萬餘條

記者27日從國家網信辦瞭解到，今年1月以來，國家網信辦在全國範圍內開展網路生態專項治理工作，持續解決網路生態突出問題，截至2月25日，累計清理涉網路生態問題的有害資訊4437萬餘條，登出違法違規賬號49萬餘個，關閉、取消備案網站1462家。

根據舉報並經調查核實，西陸網、米爾網釋出色情低俗廣告，八達網、kds寬頻山網存在嚴重生態問題。國家網信辦按照屬地管理原則，指導北京、上海等地網信辦約談和依法處置相關網站，責令其進行全面深入整改，切實履行企業主體責任，加強網站生態治理。

4、微軟釋出安全警告：Windows Sever容易受到DoS攻擊

近日微軟在安全響應中心釋出安全警告，稱Windows  Sever和Windows 10 server都容易受到DoS攻擊。具體說來，所有執行IIS（網際網路資訊服務）的Windows Server  2016、Windows Server Version 170、Windows Server Version 1803以及Windows 10   (1607、1703、1709和1803版本)都會受遭遇該DoS攻擊。這主要是因為ISS中存在資源耗盡bug，會觸發DoS條件，被潛在的遠端攻擊者利用。這個bug會“臨時導致系統CPU使用率躥升至100%，直到惡意連結遭IIS殺死。”微軟在安全通告中指出，目前尚未有針對該漏洞（由F5  Networks公司研究員Gal Goldshtein報告）的緩解措施或變通措施。並建議使用者參考二月份的非安全更新建議，及時更新以確保安全。

5、在兒童頻道出現介紹自殺的視訊後 YouTube承諾將進行更嚴格地稽核

《華盛頓郵報》近日報導稱，一位兒科醫生、同樣也是一名母親的Free   Hess近日發現，YouTubeKids上有一段長達9秒的自殺介紹夾在有關任天堂遊戲《Splatoon》的視訊中，指示孩子如何自殺。這不是唯一具有此類有害內容的視訊，其他視訊也開始出現。YouTube目前已經刪除了所述視訊。

與谷歌的幾乎所有內容一樣，YouTube使用“智慧檢測技術”來標記不當內容。YouTube還依賴於標記此類內容的使用者，這些內容將得到全天候稽核。然而，這也提出了這些視訊如何通過稽核的問題。雖然可能會在

http://YouTube.com上失效，但YouTube  Kids可能會在進入應用程式的過程中實施更嚴格的流程。此外，YouTube正在禁止對未成年人的視訊發表評論。在有關活躍戀童癖網路對視訊評論的報告後，一系列的廣告商包括AT＆T，孩之寶，迪斯尼和雀巢從YouTube這個谷歌線上平臺撤下了他們的廣告。一週以後，YouTube釋出了這份公告。

6、工信部曝光695款違規App 近九成涉強制捆綁推廣

隨著移動網際網路應用的普及，大規模的個人資訊洩露事件時有發生，越來越多的使用者抱怨所用的App過多收集個人資訊，網路安全問題日益受到人們的重視。今年兩會召開在即，多位政協委員表示，將重點關注個人資訊保護。實際上，去年兩會至少有25位代表委員向大會提交了與個人資訊保護相關的議案或建議。

就此，南都記者統計了2015年至2018年工信部公佈的檢測發現問題的應用軟體名單發現，695款App存在違規收集使用使用者個人資訊、強制捆綁推廣無關軟體、惡意“吸費”等行為。

7、百度百科、搜狗百科外鏈跳轉色情網站，過期域名被黑產利用

2019年2月28日晚上，有爆料稱使用者在百度搜尋部分小學或者幼兒園詞條，搜尋結果優先給出了百度百科的連結，點選進去之後卻發現頁面最後的參考連結“廣州上學網”竟然被指向色情網站……在筆者一番查詢之後發現，中招的不只是百度百科，連搜狗百科也同樣未能倖免。

對此百度百科回應稱，在個別百科詞條中，所引用的第三方參考資料網站，因為網頁過期失效，被不法分子利用，定向至不良站點。

以下是百度百科回應全文：

今天有文章指出，在個別百科詞條中，所引用的第三方參考資料網站，因為網頁過期失效，被不法分子利用，定向至不良站點。

對此，我們非常重視並第一時間進行了處理排查，現將處理結果同步大家：

1、我們已經緊急刪除了該詞條中被不法分子利用的參考資料網頁。

2、開發團隊即刻全面排查以該域名為參考資料的所有詞條，並進行相應處理。

3、開發團隊會持續針對所有詞條的參考資料中，網頁的URL重定向問題進行全面排查並集中處理。

4、為了避免此類問題再次發生，百度百科將增加詞條參考資料的檢查頻次，並豐富檢查維度。

百度百科是由千千萬萬的網友共同貢獻的數字知識庫。如果您發現任何詞條、參考資料問題，歡迎您隨時通過百度百科舉報通道(http://help.baidu.com/newadd?prod_id=10&category=1  )向我們反饋，我們將會專人跟進處理。

再次感謝大家對於百度百科的監督和建議。

8、個人資訊保護不力，工信部點名鬥魚、鏈家等14家企業

2月27日下午，工信部官方微博釋出最新的電信服務質量通告。通告顯示，2018年四季度檢測發現43款問題App，其中“萬能看”和“校內外”被指未經使用者同意收集、使用個人資訊。此外，因個人資訊保護不力，貝殼找房、鬥魚、豬八戒網等14家網際網路企業遭工信部點名，並督促整改，具體包括公示使用者個人資訊收集使用規則、告知查詢更新資訊的渠道、以及提供賬號登出服務等。

目前，網際網路隱私保護已成為使用者和監管部門關注的焦點。今年1月底，中央網信辦、工信部等四部門宣佈，2019年將聯合開展App違法違規收集使用個人資訊專項治理行動。有違法違規行為的App運營者將受到嚴厲的監管和處罰，情節嚴重的，或面臨暫停相關業務、停業整頓、吊銷相關業務許可制、吊銷營業執照的後果。

9、臉書、谷歌等或因有害資訊面臨英政府數十億美元罰款

英國政府計劃打擊社交媒體公司。如果這些公司不清除平臺上被認為有害的內容，將被處以數十億美元的罰款。在接受Business  Insider採訪時，英國數字部長詹姆斯（Margot   James）表示，新的獨立技術監管機構將獲得懲罰包括Facebook和谷歌等公司的權力，如果發現這些公司不能妥善保護使用者的話。

這個計劃將在下個月的網際網路安全政策檔案中詳細敘述，但詹姆斯給了Business   Insider一些關於政府對新制裁製度如何運作的思考和見解。該計劃響應了目前世界各地的立法者正在制定新規則，要求最大的科技巨頭順從。對Facebook而言，意味著其2018年的558億美元收入中將產生高達22億美元（16.5億英鎊）的罰款。對谷歌來說甚至更高，4％意味著母公司Alphabet  2018年收入1368億美元中的54億美元。

10、研究人員發現4G/5G漏洞，可攔截通話追蹤使用者位置

一組研究人員發現了4G和5G的三個新漏洞，可以用來攔截電話和跟蹤手機使用者的位置。 據稱，該項發現是首批影響4G及5G標準的漏洞。但研究人員表示，開發的新攻擊手段可以擊敗新的保護措施。

首先，使用Torpedo來利用尋呼協議中的漏洞，運營商使用這個協議在打電話或傳送簡訊前通知手機。  研究人員發現，在短時間內撥打或取消的電話可以觸發尋呼訊息，而不會警告目標裝置有來電。攻擊者可以使用該來電來跟蹤受害者的位置。   在瞭解受害者的尋呼時段後，還可以讓攻擊者通過警報等欺騙資訊或徹底遮蔽資訊，劫持尋呼通道，並注入或拒絕尋呼訊息。

Torpedo開啟了另外兩個攻擊的大門：研究人員表示，Piercer允許攻擊者在4G網路上確定國際移動使用者身份，及IMSI破解攻擊，可以在4G和5G網路中強制破解加密的IMSI識別碼。   研究人員表示，即使是最新的5G裝置也面臨著stingray的威脅，執法部門使用它來判斷某人的實時位置，並記錄其範圍內的所有手機。部分更先進的裝置還能夠攔截電話和簡訊。  

研究人員表示，美國四大運營商均受到Torpedo的影響，而進行攻擊所需的無線電裝置售價最低為200美元。 美國四大運營商均未對此置評。