移动应用安全合规动态：多款百万下载量移动应用被曝安全隐患，可泄露用户数据（第十三期）

中共中央办公厅、国务院办公厅印发《关于加快公共数据资源开发利用的意见》

10月10日消息，中共中央办公厅、国务院办公厅印发《关于加快公共数据资源开发利用的意见》。《意见》聚焦破除公共数据流通使用的体制性障碍、机制性梗阻，统筹发展和安全，兼顾效率和公平，从扩大资源供给、规范授权运营、鼓励应用创新、营造良好环境、强化组织保障等方面提出了17项具体措施。根据《意见》，国家在数据资源开发利用的总体目标分为两个阶段：到2025年，公共数据资源开发利用制度规则初步建立，资源供给规模和质量明显提升，数据产品和服务不断丰富，重点行业、地区公共数据资源开发利用取得明显成效，培育一批数据要素型企业，公共数据资源要素作用初步显现。到2030年，公共数据资源开发利用制度规则更加成熟，资源开发利用体系建成，数据流通使用合规高效，公共数据在赋能实体经济、扩大消费需求、拓展投资空间、提升治理能力中的要素作用充分发挥。

https://www.gov.cn/zhengce/202410/content_6978910.htm

国家数据局发布《公共数据资源授权运营实施规范（试行）》（公开征求意见稿）

10月12日，为认真贯彻落实《中共中央办公厅 国务院办公厅关于加快公共数据资源开发利用的意见》等文件要求，规范公共数据资源授权运营，国家数据局会同有关部门研究起草了《公共数据资源授权运营实施规范（试行）》（公开征求意见稿），现向社会公开征求意见。征求意见稿提出，开展授权运营活动，不得滥用行政权力或市场支配地位排除、限制竞争，不得利用数据和算法、技术、资本优势等从事垄断行为。运营机构应依法依规在授权范围内开展业务，不得直接或间接参与授权范围内已交付的公共数据产品和服务再开发。鼓励其他经营主体对运营机构交付的公共数据产品和服务再开发，融合多源数据，提升数据产品和服务价值，繁荣数据产业发展生态。

https://baijiahao.baidu.com/s?id=1812716276154550314&wfr=spider&for=pc

多款百万下载量移动应用被曝安全隐患：代码未加密硬编码凭证，可泄露用户数据

10 月 23 日消息，某博文报告多款热门移动应用程序由于开发阶段的错误和不良实践，导致其内置了未加密的硬编码凭证，危及用户数据。IT之家简要解释下硬编码凭证（Hardcoded Credentials），是指在源代码中直接嵌入的明文密码或其他敏感信息（如 SSH 密钥、API 密钥等）。

https://baijiahao.baidu.com/s?id=1813685065396049025&wfr=spider&for=pc

个人信息数据遭窃存风险!上海某医疗科技企业未履行保护义务被网信部门依法处罚

2024年10月14日，上海市网信办针对属地某医疗科技公司系统存在网络安全漏洞问题进行了现场核查。经查实，该公司系统数据库存储了大量个人信息数据，但未采取有效网络安全防护措施，存在未授权访问漏洞，导致数据泄漏并被境外IP访问窃取。该公司的行为违反了《数据安全法》第二十七条的规定，因此，上海市网信办依据《数据安全法》第四十五条的规定，对该公司给予警告并处以罚款的行政处罚。此事件凸显了企业在数据处理活动中应采取必要保护措施，保障数据安全的重要性。上海市网信办将加大网络安全、数据安全、个人信息保护等领域的执法力度，维护网络安全和数据安全，保护个人信息合法权益。

https://finance.eastmoney.com/a/202410173209383268.html

多个操作系统系统企业召开相关会议

10月22日华为召开原生鸿蒙之夜发布会；10月23日，麒麟软件召开麒麟软件安全生态联盟2024年第三次工作会议发布《麒麟操作系统安全应急响应手册》等成果。

https://consumer.huawei.com/cn/press/events/2024/harmonyos-next-and-huawei-all-scenario-new-product-launch-event/

https://mp.weixin.qq.com/s/RQYdIWq1wWXfYcp3Q7iQqg

北京亚控科技发展有限公司kingh5stream存在逻辑缺陷漏洞（CNVD-2023-50681）

KingH5Stream是基于HTML5技术的优秀视频直播方案,具有低延迟、高性能、易部署等优点。北京亚控科技发展有限公司kingh5stream存在逻辑缺陷漏洞，攻击者可利用该漏洞获取敏感信息。

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50681

广东中设智控科技股份有限公司设备资产综合管控平台存在信息泄露漏洞

广东中设智控科技股份有限公司是一家高新技术领域的专精特新企业，以工业互联网与智慧城市数字技术创新应用为核心业务。广东中设智控科技股份有限公司设备资产综合管控平台存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。

https://www.cnvd.org.cn/flaw/show/CNVD-2024-40552

用友网络科技股份有限公司U8CRM存在SQL注入漏洞

用友U8CRM是一款由用友软件开发的客户关系管理(CRM)系统。用友网络科技股份有限公司U8CRM存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38701

高通公司发布20个安全更新补丁用以解决其产品漏洞

高通公司发布20个安全更新补丁用以解决其产品漏洞，其中包括一个被标记为CVE-2024-43047的漏洞。漏洞主要影响骁龙660及更新的 SoC 型号、5G调制解调器、FastConnect 6700、6800、6900和7800等四款 Wi-Fi 蓝牙套件。

https://finance.sina.cn/tech/2024-10-09/detail-incrynpq9207911.d.html

本期仅披露个人信息违规问题和共更新、上新移动应用情况数据。10月1日 -10月24日期间安卓共更新、上新移动应用约1.1万款，其中广东省占比最高，约18%。

10月1日-10月24日期间个人信息违规问题应用来源约5个，其中华为应用市场和OPPO共占一半。

作为国内知名的移动信息安全综合服务提供商，爱加密移动应用大数据平台助力我国网络安全事业的建设与发展，帮助应用开发者及运营者收集应用相关数据，协助企业对应用进行安全管控。通过对应用个人信息违规行为进行自动化检测、对风险内容进行自动化识别，可帮助高效识别应用的风险情况，为企业业务、监管部门的正常运行保驾护航。

欢迎给我们留言

点击关注，不错过下次精彩内容