网易易盾

网易易盾官方号

176篇博客

3月第1周业务风控关注 工信部曝光695款违规App近九成涉捆绑推广

网易易盾2019-03-02 17:23

易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。


1、全国“扫黄打非”办公部署开展“净网2019”“护苗2019”“秋风2019”专项行动

为贯彻落实2019年“扫黄打非”行动方案和第三十二次全国“扫黄打非”工作电视电话会议精神,近日,全国“扫黄打非”办公室作出专门部署,要求各地各部门紧紧围绕庆祝新中国成立70周年主线,于3月至11月大力组织开展“净网2019”“护苗2019”“秋风2019”等专项行动,持续净化社会文化环境。

全国“扫黄打非”办公室强调,开展“净网2019”专项行动,将聚焦整治网络色情和低俗问题,通过强化司法打击、行政管理、行业规范、道德约束等多种手段综合施策,综合治理。着重整治网络文学领域,加强对文学网站的监管,规范网站编辑和作者管理,严打利用微信公众号、微博、贴吧、论坛等渠道引流低俗内容的行为。严查淫秽视频打赏平台,坚决打击建立平台、发布链接人员及参与传播的下线代理。继续严厉打击非法网络直播平台,严惩通过直播平台传播淫秽物品、组织淫秽表演的犯罪分子,坚决关停违法直播及聚合软件。

2、消息称抖音海外版 Tik Tok 在英国正在成为虐童者的狩猎场 在美国被重罚

继之前美国科技媒体The Verge报道印度封禁抖音,称其导致该国年轻人"文化堕落"报道后,目前,抖音海外版—TikTok这样的流行视频和视频直播应用程序正受到英国儿童慈善机构的抨击。国家防止虐待儿童协会(NSPCC)的一名发言人上周末表示:“很多虐待儿童的人正在通过TikTok等流行的直播应用程序与大量儿童接触,这些人把这些应用程序当作狩猎场。”NSPCC称,他们对4万名小学生进行了调查,发现25%的孩子与陌生人进行过直播,并且每20个孩子中就有一个在直播或视频评论时被要求脱掉衣服。


真是祸不单行,2019年2月27日,美国联邦贸易委员会(FTC)发布一条针对抖音海外版TikTok的处罚,由于其违反了儿童在线隐私保护法案(COPPA),在未经过父母同意的情况下,违规收集13岁以下用户的姓名、电子邮件以及其他个人信息。目前TikTok运营方已经同意支付这张罚单以解决这项指控。


抖音方面为迎合监管要求,抖音海外版TikTok于近日调整了儿童隐私保护条款,将某些注册年龄小于 13 周岁的用户挡在了门外。如果你错误输入了自己的出生年份,或导致账户视频内容在没有任何警告的情况下被删除。此前,TikTok 与美国联邦贸易委员会(FTC)达成了和解,在新政策下全力遵守儿童在线隐私保护法案(COPPA)。


3、国家网信办近两个月累计清理有害信息4437万余条

记者27日从国家网信办了解到,今年1月以来,国家网信办在全国范围内开展网络生态专项治理工作,持续解决网络生态突出问题,截至2月25日,累计清理涉网络生态问题的有害信息4437万余条,注销违法违规账号49万余个,关闭、取消备案网站1462家。

根据举报并经调查核实,西陆网、米尔网发布色情低俗广告,八达网、kds宽带山网存在严重生态问题。国家网信办按照属地管理原则,指导北京、上海等地网信办约谈和依法处置相关网站,责令其进行全面深入整改,切实履行企业主体责任,加强网站生态治理。

4、微软发布安全警告:Windows Sever容易受到DoS攻击


近日微软在安全响应中心发布安全警告,称Windows Sever和Windows 10 server都容易受到DoS攻击。具体说来,所有运行IIS(互联网信息服务)的Windows Server 2016、Windows Server Version 170、Windows Server Version 1803以及Windows 10 (1607、1703、1709和1803版本)都会受遭遇该DoS攻击。这主要是因为ISS中存在资源耗尽bug,会触发DoS条件,被潜在的远程攻击者利用。这个bug会“临时导致系统CPU使用率蹿升至100%,直到恶意链接遭IIS杀死。”微软在安全通告中指出,目前尚未有针对该漏洞(由F5 Networks公司研究员Gal Goldshtein报告)的缓解措施或变通措施。并建议用户参考二月份的非安全更新建议,及时更新以确保安全。


5、在儿童频道出现介绍自杀的视频后 YouTube承诺将进行更严格地审核


《华盛顿邮报》近日报道称,一位儿科医生、同样也是一名母亲的Free Hess近日发现,YouTubeKids上有一段长达9秒的自杀介绍夹在有关任天堂游戏《Splatoon》的视频中,指示孩子如何自杀。这不是唯一具有此类有害内容的视频,其他视频也开始出现。YouTube目前已经删除了所述视频。

与谷歌的几乎所有内容一样,YouTube使用“智能检测技术”来标记不当内容。YouTube还依赖于标记此类内容的用户,这些内容将得到全天候审核。然而,这也提出了这些视频如何通过审核的问题。虽然可能会在

http://YouTube.com上失效,但YouTube Kids可能会在进入应用程序的过程中实施更严格的流程。此外,YouTube正在禁止对未成年人的视频发表评论。在有关活跃恋童癖网络对视频评论的报告后,一系列的广告商包括AT&T,孩之宝,迪斯尼和雀巢从YouTube这个谷歌在线平台撤下了他们的广告。一周以后,YouTube发布了这份公告。


6、工信部曝光695款违规App 近九成涉强制捆绑推广



随着移动互联网应用的普及,大规模的个人信息泄露事件时有发生,越来越多的用户抱怨所用的App过多收集个人信息,网络安全问题日益受到人们的重视。今年两会召开在即,多位政协委员表示,将重点关注个人信息保护。实际上,去年两会至少有25位代表委员向大会提交了与个人信息保护相关的议案或建议。

就此,南都记者统计了2015年至2018年工信部公布的检测发现问题的应用软件名单发现,695款App存在违规收集使用用户个人信息、强制捆绑推广无关软件、恶意“吸费”等行为。

7、百度百科、搜狗百科外链跳转色情网站,过期域名被黑产利用



2019年2月28日晚上,有爆料称用户在百度搜索部分小学或者幼儿园词条,搜索结果优先给出了百度百科的链接,点击进去之后却发现页面最后的参考链接“广州上学网”竟然被指向色情网站……在笔者一番查询之后发现,中招的不只是百度百科,连搜狗百科也同样未能幸免。


对此百度百科回应称,在个别百科词条中,所引用的第三方参考资料网站,因为网页过期失效,被不法分子利用,定向至不良站点。

以下是百度百科回应全文:

今天有文章指出,在个别百科词条中,所引用的第三方参考资料网站,因为网页过期失效,被不法分子利用,定向至不良站点。

对此,我们非常重视并第一时间进行了处理排查,现将处理结果同步大家:

1、我们已经紧急删除了该词条中被不法分子利用的参考资料网页。

2、开发团队即刻全面排查以该域名为参考资料的所有词条,并进行相应处理。

3、开发团队会持续针对所有词条的参考资料中,网页的URL重定向问题进行全面排查并集中处理。

4、为了避免此类问题再次发生,百度百科将增加词条参考资料的检查频次,并丰富检查维度。

百度百科是由千千万万的网友共同贡献的数字知识库。如果您发现任何词条、参考资料问题,欢迎您随时通过百度百科举报通道(http://help.baidu.com/newadd?prod_id=10&category=1 )向我们反馈,我们将会专人跟进处理。

再次感谢大家对于百度百科的监督和建议。



8、个人信息保护不力,工信部点名斗鱼、链家等14家企业



2月27日下午,工信部官方微博发布最新的电信服务质量通告。通告显示,2018年四季度检测发现43款问题App,其中“万能看”和“校内外”被指未经用户同意收集、使用个人信息。此外,因个人信息保护不力,贝壳找房、斗鱼、猪八戒网等14家互联网企业遭工信部点名,并督促整改,具体包括公示用户个人信息收集使用规则、告知查询更新信息的渠道、以及提供账号注销服务等。

目前,互联网隐私保护已成为用户和监管部门关注的焦点。今年1月底,中央网信办、工信部等四部门宣布,2019年将联合开展App违法违规收集使用个人信息专项治理行动。有违法违规行为的App运营者将受到严厉的监管和处罚,情节严重的,或面临暂停相关业务、停业整顿、吊销相关业务许可制、吊销营业执照的后果。



9、脸书、谷歌等或因有害信息面临英政府数十亿美元罚款



英国政府计划打击社交媒体公司。如果这些公司不清除平台上被认为有害的内容,将被处以数十亿美元的罚款。在接受Business Insider采访时,英国数字部长詹姆斯(Margot James)表示,新的独立技术监管机构将获得惩罚包括Facebook和谷歌等公司的权力,如果发现这些公司不能妥善保护用户的话。

这个计划将在下个月的互联网安全政策文件中详细叙述,但詹姆斯给了Business Insider一些关于政府对新制裁制度如何运作的思考和见解。该计划响应了目前世界各地的立法者正在制定新规则,要求最大的科技巨头顺从。对Facebook而言,意味着其2018年的558亿美元收入中将产生高达22亿美元(16.5亿英镑)的罚款。对谷歌来说甚至更高,4%意味着母公司Alphabet 2018年收入1368亿美元中的54亿美元。



10、研究人员发现4G/5G漏洞,可拦截通话追踪用户位置



一组研究人员发现了4G和5G的三个新漏洞,可以用来拦截电话和跟踪手机用户的位置。 据称,该项发现是首批影响4G及5G标准的漏洞。但研究人员表示,开发的新攻击手段可以击败新的保护措施。

首先,使用Torpedo来利用寻呼协议中的漏洞,运营商使用这个协议在打电话或发送短信前通知手机。 研究人员发现,在短时间内拨打或取消的电话可以触发寻呼消息,而不会警告目标设备有来电。攻击者可以使用该来电来跟踪受害者的位置。 在了解受害者的寻呼时段后,还可以让攻击者通过警报等欺骗信息或彻底屏蔽信息,劫持寻呼信道,并注入或拒绝寻呼消息。

Torpedo打开了另外两个攻击的大门:研究人员表示,Piercer允许攻击者在4G网络上确定国际移动用户身份,及IMSI破解攻击,可以在4G和5G网络中强制破解加密的IMSI识别码。 研究人员表示,即使是最新的5G设备也面临着stingray的威胁,执法部门使用它来判断某人的实时位置,并记录其范围内的所有手机。部分更先进的设备还能够拦截电话和短信。

研究人员表示,美国四大运营商均受到Torpedo的影响,而进行攻击所需的无线电设备售价最低为200美元。 美国四大运营商均未对此置评。