数据安全新动态（2023年12月·下篇）

工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续开展APP侵害用户权益专项整治行动。近期，工信部组织第三方检测机构对群众关注的实用工具、本地生活、网络游戏等移动互联网应用程序（APP）及第三方软件开发工具包（SDK）进行检查。发现24款APP、SDK存在侵害用户权益行为予以通报。

https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_8e9cc391f75d49ed9a1d1c61cd13e195.html 

2023年12月23日，团中央维护青少年权益部联合中国互联网络信息中心、中国青少年新媒体协会，在京召开“宣传贯彻《条例》 益起助力成长”主题研讨会。会上，团中央维护青少年权益部发布《第5次全国未成年人互联网使用情况调查报告》成果。会上大家一致认为，《条例》作为我国第一部专门性的未成年人网络保护综合立法，是贯彻落实习近平法治思想和习近平总书记关于青年工作的重要思想，进一步完善互联网领域治理体系，健全青少年健康成长法治保障的重要举措，在未成年人保护工作领域具有里程碑意义。

https://www.cnnic.cn/n4/2023/1225/c116-10908.html 

近期，中国网络空间安全协会对“餐饮外卖类”公众大量使用的部分App收集个人信息情况进行了测试。本次测试选取了19家应用商店累计下载量达到1亿次的“餐饮外卖类”App，共计7款。测试发现7款App共上传5种类型个人信息，包括位置信息、设备唯一识别码、应用列表信息、用户截图操作信息、用户使用App产生交互信息等。

https://www.cybersac.cn/detail/1734013574080143361

一段时间以来，“AI换脸”技术被广泛应用于短视频的二次创作，给社会公众带来了新鲜体验。不少网友感叹，“AI换脸”生成的视频，惟妙惟肖，很有意思。但同时“AI换脸”技术也可能侵害公民的个人信息安全甚至公共信息安全。一旦发生这样的情况，需要花费大量的时间精力去维权，因此社会公众既要增强个人信息特别是人脸等生物特征等信息的保护意识，同时使用新技术也要尊重他人的知识产权和人格权，尽到审慎的注意义务，避免陷入不必要的诉讼纠纷。

https://paper.people.com.cn/rmrb/html/2023-12/04/nw.D110000renmrb_20231204_4-07.htm

4.1.5.招聘App短信验证码接口遭1300多万次黑客攻击，致300万条数据泄露

据央视新闻官微，一求职招聘类 App 短信验证码接口遭遇了 1300 多万次的攻击，警方调查发现 2 名嫌犯利用网站漏洞制作黑客软件并实施“撞库”攻击，获取大量个人信息和公司账号数据在境外出售。经过民警不懈努力，专案组成功在四川成都将嫌疑人焦某抓获，现场起获各类公司、人员数据 330 余万条。

来源：

https://baijiahao.baidu.com/s?id=1784861011688189137&wfr=spider&for=pc 

12月8日消息，网络安全公司 IIIT Hyderabad 的安全专家近日出席Black Hat Europe大会，披露了存在于安卓系统自动填充功能中的漏洞，会意外泄露用户的密码信息。Keeper 首席技术官克雷格?卢里在与 TechCrunch 分享的讲话中表示，该公司已收到有关潜在漏洞的通知，但没有说明是否进行了任何修复。

https://baijiahao.baidu.com/s?id=1784679474252884008&wfr=spider&for=pc 

https://www.jamf.com/blog/fake-lockdown-mode/

变色龙安卓银行木马最近发布了最新的版本并重出江湖，它采用了一种非常“野”的方式来接管设备——禁用指纹和面部解锁功能，以窃取设备的PIN码。它通过使用HTML页面的技巧来获取访问辅助服务的权限，以及一种干扰生物识别操作的方法，来窃取PIN码并随意解锁设备。为防范变色龙威胁，用户应避免从非官方渠道下载APK，因为这是Zombinder服务的主要分发方式。

https://www.freebuf.com/news/387465.html