BUF大事件丨1780个流行安卓APP违反加密规则；工信部通报101款违规APP

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，1780个流行的Android应用程序全都违反加密规则；工信部通报101款侵害用户权益行为APP；英特尔修复了企业远程管理平台中的严重漏洞；新型信用卡窃密工具出现，黑客利用Telegram提取数据。想要了解详情，来看本周的BUF大事件吧！

内容梗概

1780个流行的Android应用程序全都违反加密规则

哥伦比亚大学的一组学者开发了一种自定义工具，可以动态分析安卓应用程序是否在以不安全的方式使用加密代码。这个名为Crylogger的工具测试了Google Play商店中1780个流行的安卓应用程序，结果所有应用都至少违反26条加密规则中的一项。当研究人员联系306个违反9条以上密码规则的安卓应用程序开发者后，只有18位开发者回复了第一封邮件，8位开发者多次回复并提供了有用的反馈。

工信部通报101款侵害用户权益行为APP

依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部近期组织第三方检测机构对手机应用软件进行检查，此次检测中，应用宝、豌豆荚、小米应用商店等部分移动应用分发平台管理主体责任缺位，对上架APP审核把关不严，检测发现问题较多。截至目前，尚有101款APP未完成整改，在9月7日前逾期不整改的，工业和信息化部将依法依规组织开展相关处置工作。

英特尔修复了企业远程管理平台中的严重漏洞

英特尔在2020年9月的平台更新中，修复了九个安全漏洞。其中一个是影响主动管理技术（AMT）和英特尔标准可管理性（ISM）平台的严重漏洞，漏洞编号CVE-2020-8758，CVSS得分为9.8。英特尔称：漏洞被利用可能允许易受攻击的系统升级特权，之前的所有Intel AMT和Intel ISM版本都容易受到攻击， 幸运的是该漏洞目前尚未被广泛使用。

新型信用卡窃密工具出现，黑客利用Telegram提取数据

近日，安全研究人员发现，黑客组织Magecart利用Telegram来进行信用卡窃密。黑客采取的策略是入侵网站后在网站传输支付信息时同步发送给黑客组织。窃密工具实时接收到目标用户的通知，然后在地下市场进行信用卡交易。大量的电商网站是因为通用漏洞或者凭据窃取而造成用户数据泄露，有些购物者甚至没有发现自己已经被入侵。