Posted in业界

【聚铭安全周报】网络安全信息与动态(20170910-20170916)

2017年9月16日

行业动态

1、微博官方发布公告:9月15日前所有用户需实名,否则无法发博与评论

2、2017世界物联网博览会在无锡开幕 罗文表示发展物联网是培育经济发展新动能

3、智能制造“搭上”工业互联网 中国《工业物联网白皮书》正式发布

4、落实网络安全法 多互联网公司推送个人信息保护条款

5、数据驱动安全进入2.0时代 人成为安全体系核心

安全动态

1、关于蓝牙(Bluetooth)协议存在多个漏洞的安全公告

2、未及时安装漏洞补丁可能致使美信用机构Equifax遭入侵

3、Google安全浏览服务覆盖30亿设备,网络安全未来属于人工智能技术

4、8月国内手机市场报告 国产品牌出货量同比降14.8%

5、快讯 丨流行Chrome插件User-Agent Switcher为木马程序,请尽快卸载

重点关注

1、落实网络安全法 多互联网公司推送个人信息保护条款

9月14日起,网民在登陆微信、淘宝、微博、高德地图等客户端时,陆续收到平台推送的个人信息保护政策,点击“同意”后才能继续使用。在2017年国家网络安全宣传周开幕前夕,互联网公司积极落实《网络安全法》规定,更新个人信息保护政策,不断加强对用户个人信息的保护。

2017年6月1日,《网络安全法》正式实施。互联网公司对个人信息保护政策的修订,正是积极响应《网络安全法》关于网络信息安全的相关规定,落实中央网信办、工信部、公安部、国家标准委等四部门“个人信息保护提升行动”的要求。以微博为例,修订后的个人信息保护政策,在信息收集、信息保护、安全措施等方面均增加了较大篇幅,力求全方位保护用户个人信息,扩大个人信息保护政策的覆盖范围。为保证新政及时为用户所了解,用户安装或升级微博客户端后,首次登陆都会收到推送信息,选择“同意”才能继续使用微博。

来源:cnBeta

2、微博官方发布公告:9月15日前所有用户需实名,否则无法发博与评论

9月8日中午,微博官方发布关于微博推进完成账号实名制的公告。

2011年《北京市微博客管理规定》实施以后,微博即按照该规定要求所有新注册用户进行实名验证,同时引导在该规定实施以前注册的老用户进行实名验证。验证方式按照前台自愿后台实名的原则,要求用户完成手机号码验证。

截至目前,微博已完成了全站活跃用户的实名验证工作。根据相关法律要求,微博将在今年9月15日之前,完善产品机制,要求所有用户包括2011年之前注册的用户,在发博和评论前,先行完成实名验证。

同时,微博也将向第三方开放授权登录服务,第三方使用微博登录时微博会反馈请求账号是否已完成实名验证。使用微博授权登录等同于该用户在第三方实名登录。

来源:secdoctor

3、关于蓝牙(Bluetooth)协议存在多个漏洞的安全公告

近日,国家信息安全漏洞共享平台(CNVD)收录了蓝牙(Bluetooth)协议存在的8个安全漏洞。由于漏洞涉及到基础协议,影响到Android、iOS、Windows以及Linux系统设备甚至使用短距离无线通信技术的物联网设备,相关设备范围十分广泛。综合利用上述漏洞,攻击者还可以控制设备,突破访问企业数据和网络,向横向相邻的设备传播恶意软件,极有可能导致大规模蠕虫的跨网攻击。

物联网安全研究公司Armis Labs披露了一个新的攻击方法,搭载主流移动、桌面、IoT操作系统包括Android、iOS、Windows、Linux系统的设备均受其影响。攻击者是通过蓝牙(Bluetooth)协议远程不经过任何传统网络介质发起攻击,因此被命名为“BlueBorne”。

信息来源:国家互联网应急中心

4、流行Chrome插件User-Agent Switcher为木马程序,请尽快卸载

Chrome商店搜索User-Agent Switcher,排名第一的插件居然是一款木马程序!而这款工具,很多安全技术人员也都在使用。

这款插件的表面功能是使Chrome可以转换为别的浏览器进行访问,如IE、Safari、360甚至iOS、 Android等移动浏览器,方便用户进行测试。此外,User-Agent Switcher还可以修改浏览器的UA,支持自动切换模式,让Chrome始终用指定的UA去访问某些网站。

但是,这款插件其实是一个包含恶意代码的木马程序。打开谷歌应用商店(插件地址),可以看到其用户数超过45万人,截至发稿共有1300多名用户对其进行了评价,平均评分4.38颗星。

信息来源:FreeBuf

5、银行木马 BankBot 感染 Google 商店 160 款应用程序,阿联酋金融机构成为黑客首选攻击目标

新研究发现,旨在造成宕机或破坏的创新性网络攻击,越来越喜欢针对任务关键的域名系统(DNS)下手。

DDoS攻击是第二高发的DNS相关攻击类型(32%),位列恶意软件(35%)之后。第三是缓存投毒(23%),随后是DNS隧道(22%)和零日漏洞利用(19%)。

DNS攻击造成的年度平均损失是220万美元,76%的公司企业在过去12个月中成为了DNS攻击的受害者(比去年上涨2%)。

该调查包含1000名受访者,其中300名来自北美,400名来自欧洲,300名来自亚太地区。调查的目的,是核查DNS威胁威胁上升的技术和行为原因,及其潜在商业影响,建议直接快速的修复。

信息来源:hackernews

了解更多聚铭网络详情,敬请关注

聚铭官网:www.juminfo.com

相关内容:

Tags: