10月業務安全月報 | 美國將奇虎360和知道創宇列入黑名單；豐田洩露30萬使用者資訊；蘋果曝嚴重漏洞

導語：隨著數字化的深入普及，業務愈加開放互聯。企業的關鍵資料、使用者資訊、基礎設施、運營過程等均處於邊界模糊且日益開放的環境中，涉及利益流和高附加值的業務面臨多樣的安全隱患，隨時可能遭遇損失，進而影響企業運營和發展。

一方面，業務安全隱患形式多樣，在電商、支付、信貸、賬戶、互動、交易等形態的業務場景中，存在著各類等欺詐行為；另一方面，欺詐行為日益專業化、產業化，且具有團伙性、複雜性、隱蔽性和傳染性等特點。

為了讓大家更全面的瞭解業務安全的風險，頂象自7月起將針對每月的業務安全熱點事件進行盤點總結。

國內安全熱點

五角大樓將奇虎360和知道創宇列入黑名單

五角大樓將奇虎 360、深圳大疆、北京知道創宇和中科曙光等 13 家中國公司列入黑名單。大疆發言人 Adam Lisberg 表示，沒有理由將該公司列入黑名單，該公司是唯一一家反對將其無人機產品軍用的製造商，大疆從未設計或製造過軍用級別的裝置。

工信部通報 38 款侵害使用者權益 App

10 月 13 日訊息，為鞏固治理成效，營造共同維護消費者權益的良好環境，近期工信部開展 App 侵害使用者權益整治“回頭看”，組織第三方檢測機構對資訊彈窗違規推送、App 過度索取許可權等問題進行重點抽測，共發現 38 款 App 存在問題，現予以公示。

官方公佈的 App 名單中也包括多款比較知名的應用，例如智慧樹、2345 瀏覽器、映客直播、丁香醫生、惠頭條、免費全本小說書城、鈴聲多多、YOWA 雲遊戲等。

2022 年網路交易突發事件應急實戰演練啟動，阿里、京東、拼多多等參加

10 月 13 日訊息，據國家市場監督管理總局訊息，為切實做好網路交易突發事件應急處置工作，有效防範化解網路交易突發事件重大風險，維護網路交易秩序，10 月 10 日上午，市場監管總局組織開展 2022 年網路交易突發事件應急實戰演練。

此次演練由總局網監司主辦，總局辦公廳、新聞宣傳司，競爭政策與大資料中心，北京、上海、浙江等地市場監管部門及阿里、京東、拼多多等平臺企業參加演練。

據介紹，本次演練嚴格按照《網路交易突發事件應急預案》要求進行，在市場監管總局設定指揮中心，在相關地方市場監管局和平臺企業設定分會場，演練模擬線上出現違法銷售禁限售商品的突發事件，運用數字化手段，透過“實景拍攝 + 現場模擬”相結合的形式，全過程演練突發事件的事件發生、事件調查、分析研判、III 級應急響應、事件處置、跟蹤督導、輿論引導、響應終止等環節。本次演練示範指導效應較強，在最短的時間內，充分發揮了應急處置網路交易突發事件的保障機制。

《資訊保安技術 智慧手機預裝應用程式基本安全要求（徵求意見稿）》釋出

近日，全國資訊保安標準化技術委員會發布了《資訊保安技術 智慧手機預裝應用程式基本安全要求（徵求意見稿）》（以下簡稱《安全要求》）。

《安全要求》給出了智慧手機預裝應用程式的基本安全要求，適用於智慧手機生產企業的生產活動，也可為相關監管、第三方評估工作提供參考。

《安全要求》明確了可解除安裝範圍，指出除系統設定、檔案管理、多媒體攝錄、接打電話、收發簡訊、通訊錄、瀏覽器、應用商店等直接支撐作業系統執行或實現智慧手機基本功能所必須的基本功能應用程式外，智慧手機中其他預裝應用程式均應可解除安裝。實現同一基本功能的預裝應用程式，至多有一款可設定為不可解除安裝。不可解除安裝應用程式內含有直接支撐作業系統執行或實現智慧手機基本功能之外的其他功能時，應提供禁用或解除安裝這些功能的方式。

工信部印發《網路產品安全漏洞收集平臺備案管理辦法》

10月29日訊息，為規範網路產品安全漏洞收集平臺備案管理，工業和資訊化部近日印發《網路產品安全漏洞收集平臺備案管理辦法》。辦法規定，漏洞收集平臺備案透過工業和資訊化部網路安全威脅和漏洞資訊共享平臺開展，採用網上備案方式進行。

辦法所稱網路產品安全漏洞收集平臺，是指相關組織或者個人設立的收集非自身網路產品安全漏洞的公共網際網路平臺，僅用於修補自身網路產品、網路和系統安全漏洞用途的除外。辦法明確，擬設立漏洞收集平臺的組織或個人，應當透過工業和資訊化部網路安全威脅和漏洞資訊共享平臺如實填報網路產品安全漏洞收集平臺備案登記資訊。辦法自2023年1月1日起施行。

國外安全熱點

微軟被曝洩露 2.4TB 客戶敏感資料，6.5 萬家公司受影響

據報導，網路安全供應商 SOCRadar 最近向微軟通報了一次重大資料洩露事件，聲稱超過 2.4TB 客戶敏感資料被洩露，6.5 萬家公司受到影響。微軟已經承認此事，但辯稱 SOCRadar “ 誇大了這次洩露事件的範圍和嚴重程度 ”。

披露稱，該次被洩露的資料包括使用者姓名、電子郵件地址、電子郵件內容、公司名稱和電話號碼，以及與受影響客戶和微軟或微軟授權合作伙伴之間的業務檔案。

FBI：網路詐騙者可能針對美國學生貸款債務減免申請人

據Bleeping Computer 10月18日訊息，FBI釋出警告稱，網路詐騙分子很可能會利用剛剛施行的美國學生貸款減免計劃，對目標群體進行釣魚攻擊。

今年8月，拜登政府正式頒佈了學生貸款減免計劃，該計劃於上週末開始投入測試執行，並於當地時間10月17日正式開放免費申請，目前已有超過800萬人提交了減免還款申請。

FBI表示，網路詐騙分子可能建立虛假的申請網站，並向受害者傳送符合申請資格的釣魚郵件和簡訊，而他們的目的可分為兩種，一是蒐集受害者個人資訊進行其他網路犯罪活動，二是以註冊該計劃或處理申請為由從中騙取費用。

據悉，美國共有約4500萬人申請了學生貸款，總計借貸金額達1.6 萬億美元。拜登表示，超過4000萬人將從學生貸款減免計劃中受益，受益者中90%的人年收入不足7.5萬美元。

澳大利亞零售巨頭洩露220萬使用者資料，並被駭客線上出售

據Security affairs等網站訊息，澳大利亞零售巨頭Woolworths 批露了近期旗下子公司MyDeal一起影響 220 萬使用者的資料洩露事件，攻擊者已在駭客論壇上發帖出售被盜資料。

根據批露的資訊，攻擊者使用洩露的使用者憑證訪問了公司客戶關係管理 (CRM) 系統，檢視並匯出了220萬條使用者資訊。這些資料包括了姓名、電子郵件地址、電話號碼、送貨地址等資訊，部分還涉及使用者的出生日期。但MyDeal 宣告沒有洩露任何支付資訊、政府 ID 或帳戶密碼。

洩露約 30 萬使用者資訊，豐田公開道歉

據路透社報導，豐田汽車公司旗下 T-Connect 服務出現安全事故，近三十萬使用者的個人資訊可能已經被攻擊者竊取。洩露的資訊型別包括使用者的電子郵件地址、客戶號碼等，影響範圍包括 2017 年 7 月以來使用電子郵件地址註冊服務的使用者。

鍵盤殘餘熱量可能洩露密碼，20秒內拍下鍵盤熱像圖，密碼洩露86%

英國格拉斯哥大學計算科學學院的副教授穆罕默德·哈米斯（Mohamed Khamis）領導的一個團隊開發了ThermoSecure系統，該系統使用紅外熱像儀來猜測和識別使用者最後觸控的鍵位，然後利用人工智慧分析熱像圖，熱像圖中越亮的鍵位，表明它被觸控的時間距離現在越短。這一研究論文釋出在即將出版的《ACM隱私與安全交易》雜誌中。

研究人員使用該系統可猜測計算機鍵盤、智慧手機螢幕、ATM鍵盤上的密碼和PIN。研究結果非常驚人，在20秒內拍攝熱像圖時，密碼的還原率為86%；30秒內拍攝，密碼的還原率為76%；60秒內拍攝，密碼還原率為62%。

使用ThermoSecure系統，研究人員可以破解多達16個字元的三分之二的密碼。較短的密碼更容易被破解：12個字元的密碼在82%的時間內被猜到，八個字元的密碼被破解的機率是93%。六個字元或更少字元的密碼被破解的機率是100%。

iPhone 備忘錄被曝莫名清空

近日，多名iPhone使用者在社交媒體平臺稱，自己的蘋果備忘錄被莫名清空，在蘋果雲端服務中也無法找回。對此，蘋果客服回應，有使用者碰到相似情況，蘋果會嘗試在系統中幫忙回覆，不過一些網友標識，即使是聯絡了蘋果支援，也沒有找回備忘錄內容，並且建議大家使用本地儲存備忘錄，不要存到雲端服務中。

蘋果曝嚴重漏洞，可竊聽使用者與Siri對話

據The Hacker News 10月27日訊息，在蘋果近期披露的漏洞中包含了名為SiriSpy的 iOS 和 macOS系統漏洞，使具有藍芽訪問許可權的應用程式能夠竊聽使用者與 Siri 的對話。

應用程式開發人員 Guilherme Rambo 在 2022 年 8 月發現並報告了該漏洞，編號為CVE-2022-32946。

Rambo表示，在使用 AirPods 或 Beats 等裝置時，只要請求訪問藍芽許可權的都可以記錄使用者與Siri的對話。而該漏洞與 AirPods 中一項名為 DoAP 的服務有關，該服務用於支援 Siri 和聽寫功能，從而使攻擊者能夠製作可透過藍芽連線到 AirPods 並在後臺錄製音訊的應用程式，且不會顯示麥克風的訪問請求。

而在 macOS 系統上，該漏洞可能被濫用以完全繞過TCC使用者隱私保護框架，這意味著任何應用程式都可以記錄使用者與 Siri 的對話，且無需請求任何許可權。

目前該漏洞已透過系統更新補丁得到修復，涉及的產品包括iPhone8及之後的所有機型；所有的iPad Pro；iPad Air 第 3 代、標準版iPad 第 5 代、iPad mini 第 5 代及後續機型。

——————
業務安全產品：免費試用