10多款iOS应用被发现与安卓恶意件有染 传输位置数据；万豪称黑客窃取了超过500万客户护照数据

内容提要：

1. 10多款iOS应用被发现与安卓恶意件有染 传输位置数据

2.万豪称黑客窃取了超过500万客户护照数据

3.网贷平台明码标价倒卖用户信息 一线城市6600元包年

4.假个税APP蹭热点窃信息，国家税务总局提醒下载正版

5.美国立法欲阻止黑客盗取机密

6.USB Type-C获身份验证，以防恶意设备攻击

7.巴西政府将成立国家个人数据保护局

8.印度当局要求社交网络利用微软PhotoDNA扫描所有照片

9.未经用户同意，某些流行安卓应用程序与脸书共享用户的数据

1.10多款iOS应用被发现与安卓恶意件有染 传输位置数据

研究人员表示，他们已经发现逾10款iPhone应用秘密向与Android恶意件Golduck有关的服务器传输数据。Golduck是在逾一年前被发现的。当时，Appthority发现Golduck会感染谷歌Play中的经典和复刻游戏，在游戏中嵌入后门代码，使恶意代码秘密感染设备。当时，这一恶意代码感染了逾1000万名用户，它使黑客能以最高权限运行恶意命令，例如，在用户的手机上发送付费短信牟利。现在，研究人员称，与Golduck通信的iPhone应用也存在风险。企业安全厂商Wandera称，它发现14款iPhone应用——全部是复刻版游戏——与Golduck恶意件使用的命令和控制服务器通信。

2.万豪称黑客窃取了超过500万客户护照数据

酒店连锁巨头喜达屋母公司万豪国际酒店日前表示，经过取证和分析团队缜密调查后发现，因其大数据泄露事件影响到的客户数量从5亿减少到了3.83亿，其中有超过500万个未加密的护照号码被盗。万豪更新了此前的信息，称黑客最多访问了3.83亿客户信息，有525万客户的未加密护照号码被窃取。尽管万豪最新披露的这些数据较之前有所降低，但该事件仍是有史以来最大的个人数据泄露事件之一。与2017年的Equifax个人数据泄露事件相比，万豪事件影响到的用户是后者的两倍多。

3.网贷平台明码标价倒卖用户信息 一线城市6600元包年

4.假个税APP蹭热点窃信息，国家税务总局提醒下载正版

随着新个税法从本月初开始实施，国家税务总局推出的“个人所得税”APP立刻进入很多软件商店的下载排行榜。来自国家税务总局的信息也显示，这几天个税APP的下载量和注册量大幅提升。不过北青报记者在采访中也了解到，随着国家税务总局的个税APP大热，很多来自商业公司制作的各类“个税”APP也成为热门，这其中有的针对纳税人的具体情况提供更个性化的服务，但也有的纯属蹭热点，甚至有的纯属恶意软件窃取个人信息。对此，税务部门提醒广大用户，由于个税登记涉及很多个人隐私信息，用户在选择应用软件时务必谨慎，尤其不要在非正规渠道下载软件、登记个人信息。

5.美国立法欲阻止黑客盗取机密

美国和中国在网络攻击上的关系日益紧张，立法者提议立法保护美国的关键技术不被黑客窃取。这项立法是拓宽美国政府打击中国黑客和加强美国网络安全的内容之一。参议员Marco Rubio（R-Fla）和Mark Warner（D-Va）提出了一项法案，旨在打击美国公司和官员窃取信息的行为。拟议的法律表示将在白宫设立一个新的政府机关。该机关部署新的国家战略和促进更好的网络卫生，来解决国家资助的技术失窃问题，并确保美国供应链的安全。中国驻华盛顿大使馆不予置评。

6.USB Type-C获身份验证，以防恶意设备攻击

USB-IF宣布即将推出USB Type-C认证程序，以防范不符合标准的USB充电器和USB恶意软件攻击。据ZDNet 1月3日报道，非营利组织USB开发者论坛(USB-IF)于1月2日宣布推出USB Type-C认证程序，旨在为主机系统防范不符合标准的USB充电器，并降低USB中的恶意固件损坏主机的风险。USB-IF的程序将证实USB设备、电缆或充电器的真实性。USB-IF表示，认证程序在连接时启动，以确保不会传输不适当的电源或数据。这个非营利组织（USB-IF）将与DigiCert合作，DigiCert将管理USB Type-C认证程序的PKI和认证机构服务。USB-IF总裁兼首席运营官Jeff Ravencraft表示，随着USB Type-C生态系统的持续发展，公司可以进一步提高消费者所期望的认证USB设备的安全性。

7.巴西政府将成立国家个人数据保护局

巴西前总统米歇尔·特梅尔（Michel Temer）于近日公布一项“临时措施”，提出成立“国家个人数据保护局”（简称ANPD），并延长巴西新数据隐私法（基于欧盟GDPR制定）的生效日期，将其从18个月延长到24个月。特梅尔最初在2018年8月签署的新数据隐私法中否决了成立ANPD的提案，否决的主要原因在于该机构的自治模式。然而由于巴西当局认为该机构对实施新规则至关重要，因此巴西政府被迫解决该问题。

8.印度当局要求社交网络利用微软PhotoDNA扫描所有照片

指纹工具微软PhotoDNA可通过预先扫描用户上传的内容，帮助线上服务清除虐待儿童的图片。 PhotoDNA为图片创建了独特的数字签名（即“哈希”），并将该签名与其他图片的签名（哈希）做对比，以识别相似的图像。当所匹配的数据库包含之前识别过的非法图像的哈希值时，工具PhotoDNA刚好有助于删除、销毁并报道虐待儿童材料的分布。 该技术在印度引发舆论哗然，此前，印度中央调查局曾报道要求社交网络开始使用该工具扫描用户相册。然而，印度中央调查局似乎还要求社交网络寻找用户相册中的特定照片，这些照片与虐待无关，亦在该工具的设计初衷之外。

9.未经用户同意，某些流行安卓应用程序与脸书共享用户的数据

随着加密研究发现，逾61%参与测试的应用程序会在用户打开应用程序时，自动将数据传输至脸书，且该情况不受用户是否拥有脸书账户或是否登录脸书影响。研究还发现，某些应用程序会定期向脸书发送极为详细的敏感数据。同样，未登录或没有脸书账户的用户也受该情况影响。就法律层面而言，这意味着脸书的SDK默认实施违反了欧盟的通用数据保护条例，该条例要求应用程序开发人员在收集数据前需征得用户同意。脸书的SDK可收集设备数据，而开发人员却无法防止SDK收集用户数据，其中包括用户使用特定应用程序的时长。

长按添加关注，为您保驾护航！