移动应用安全合规动态：多个安卓设备漏洞让攻击者劫持手机

一、监管部门动向：工业和信息化部关于侵害用户权益行为的APP（SDK）通报（2024年第3批，总第38批）;重庆市首家公司通过国家网信办数据出境安全评估

二、安全新闻：多款APP因侵犯用户权益被通报;DNS 流量可能会泄漏到 Android 上的 VPN 隧道之外

三、漏洞播报：Zabbix Server存在SQL注入漏洞（CVE-2024-22120）;GitHub Enterprise Server存在身份验证绕过漏洞（CVE-2024-4985）

四、移动应用市场宏观情况：5月1日-5月29日移动应用市场期间共更新、上新约2.1万款，检测出漏洞约31万个。

监管部门动向

工业和信息化部关于侵害用户权益行为的APP（SDK）通报（2024年第3批，总第38批）

工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。近期，我部组织第三方检测机构进行抽查，共发现50款APP及SDK存在侵害用户权益行为（详见附件），现予以通报。

海南省就《海南自由贸易港数字经济促进条例》（草案·公开征求意见稿）公开征求意见

5月14日，海南省工业和信息化厅就《海南自由贸易港数字经济促进条例》（草案·公开征求意见稿）（以下简称“《征求意见稿》”）征求社会各界意见，意见征求截至2024年6月13日。《征求意见稿》中明确，县级以上人民政府及有关部门应当依法按照数据分类分级保护制度，对本地区、本部门以及相关行业、领域的数据开展分类分级管理，根据需要确定本地区、本部门以及相关行业、领域的重要数据具体目录。海南自由贸易港应当在国家数据跨境传输安全管理制度框架下，建立数据跨境流动管理机制，探索推行数据跨境流通“负面清单”制度，加快实现医疗、航天、深海、贸易、投资、教育、旅游、金融等领域数据跨境安全有序流动。

广东省政务服务和数据管理局发布《数字广东建设2024年工作要点》

5月15日，广东省政务服务和数据管理局发布《数字广东建设2024年工作要点》（以下简称“《工作要点》”），统筹推进数字政府、数字经济、数字社会、数字文化、数字生态文明建设，以全面数字化推动广东经济社会高质量发展。《工作要点》中明确，探索粤港澳三地数据跨境流通机制，推动在数据基础设施、数据基础制度、数据要素跨域跨境流通等重点领域取得突破，在营商环境重点领域率先实现场景落地。

临港新片区发布数据跨境首批3大领域11个场景一般数据清单

5月17日，中国（上海）自由贸易试验区临港新片区数据跨境场景化一般数据清单新闻发布会在临港中心顺利举行。会上，临港新片区管委会发布了全国首批数据跨境场景化一般数据清单及清单配套操作指南。首批一般数据清单包含智能网联汽车、公募基金、生物医药3个领域，涉及智能网联汽车跨国生产制造、医药临床试验和研发、基金市场研究信息共享等11个场景，划分成64个数据类别600余个字段。

重庆市首家公司通过国家网信办数据出境安全评估

5月17日，重庆市网信办官微发文称，某航空有限责任公司通过国家网信办数据出境安全评估，是重庆市首家通过评估的企业。截至目前，重庆市已正式完成数据出境安全评估企业1家，通过个人信息出境标准合同备案6家，标志着重庆市在智能制造、物流等领域形成行业数据出境合规示范案例。

安全新闻

多款APP因侵犯用户权益被通报

5月20日消息，山东省通信管理局依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，按照工业和信息化部《关于进一步提升移动互联网应用服务能力的通知》要求，持续开展APP侵害用户权益专项整治工作，常态化组织专业机构对我省各类APP、小程序进行合规性检测，对违规APP、小程序书面要求限期整改。

DNS 流量可能会泄漏到 Android 上的 VPN 隧道之外

最近获悉 Android 上存在多个潜在的 DNS 泄漏问题。它们源于 Android 本身的错误，并且只影响某些应用程序。确认这些泄漏发生在多个版本的 Android 中，包括最新版本 (Android 14)。Android 操作系统可能泄漏 DNS 流量的已识别场景：如果 VPN 处于活动状态且未配置任何 DNS 服务器;当 VPN 应用程序重新配置隧道或被强制停止/崩溃时的一小段时间。

多个安卓设备漏洞让攻击者劫持手机

移动安全公司Oversered披露了这些漏洞，发现了20个影响广泛应用程序和系统组件的关键缺陷。这些漏洞可能会让黑客访问存储在设备上的敏感信息，包括个人数据、财务信息和其他机密信息。如果利用这些缺陷，攻击者可能会接管设备、注入恶意代码或从设备内存中窃取数据。

谷歌发布Android更新修补程序关键漏洞

谷歌本周宣布了一批新的安卓安全更新，以解决总共26个漏洞，包括系统组件中的一个严重缺陷。这些问题中最严重的是系统组件中的一个关键安全漏洞，该漏洞可能导致权限在本地升级，而不需要额外的执行权限。该漏洞已作为的一部分解决2024-05-01安全补丁级别，解决了八个缺陷，包括框架组件中的四个权限提升（EoP）缺陷，以及系统组件中的三个EoP问题和一个信息披露缺陷。

多个移动设备漏洞可让攻击者执行任意代码

2024 年 5 月的安全维护版本 (SMR) 中包含了这 25 个 SVE 项目的补丁，已采取主动措施来减轻与这些漏洞相关的风险。这些缺陷涉及设备的各个组件，包括操作系统、固件以及开发的某些专有软件。这些漏洞可能允许恶意分子在设备上执行任意代码或提升其权限，从而获取对敏感信息或系统功能的未经授权的访问。

漏洞播报

Zabbix Server存在SQL注入漏洞（CVE-2024-22120）

近日，安全研究人员发现分布式系统监视平台Zabbix Server存在SQL注入漏洞（CVE-2024-22120），位于audit.c的zbx_auditlog_global_script函数中，是由该函数clientip字段存在缺陷所导致，允许攻击者利用该漏洞从数据库中获取敏感信息，并可能导致将权限提升为管理员或导致远程代码执行。漏洞影响Zabbix 6.0.0 - 6.0.27等版本，目前用户可通过版本升级修复上述漏洞。

Fluent Bit存在内存损坏漏洞（CVE-2024-4323）

近日，安全研究人员发现日志处理和转发工具Fluent Bit存在内存损坏漏洞（CVE-2024-4323），是由该工具的/api/v1/traces端点解析模块对input_name数据类型无法正确验证所导致，允许攻击者通过向目标设备发送恶意请求的方式，造成设备内存损坏，进而导致拒绝服务、信息泄露或远程代码执行。漏洞影响Fluent Bit 2.0.7 - 3.0.3等版本，目前用户可通过版本升级修复上述漏洞。

GitHub Enterprise Server存在身份验证绕过漏洞（CVE-2024-4985）

近日，安全研究人员发现软件开发自托管平台GitHub Enterprise Server存在身份验证绕过漏洞（CVE-2024-4985），在使用带有可选加密断言功能的SAML单点登录（SSO）身份验证的GHES实例上，威胁者可以伪造 SAML 响应，绕过身份验证机制获取站点管理员权限，成功利用该漏洞可能导致未授权访问和敏感信息泄露等。漏洞影响GitHub Enterprise Server < 3.13.0等版本，目前用户可通过版本升级修复上述漏洞。

移动应用市场宏观情况

爱加密长期基于安全检测引擎，对应用进行107项漏洞扫描后存入爱加密大数据平台，本期仅披露部分数据，可于爱加密大数据平台中查看更多应用市场宏观情况、恶意软件情况、历史通报情况等信息。

本期仅披露移动应用市场宏观情况与漏洞情况。5月1日-5月29日移动应用市场期间共更新、上新约2.1万款，其中上海市占比最高，约6%。

漏洞方面，5月1日-5月29日期间检测出漏洞约31万个，其中“资源文件泄露风险检测”数量最多，约3.7万个。

作为国内知名的移动信息安全综合服务提供商，爱加密时刻关注我国的移动应用安全发展状况，长期跟进解读相关文件，从行业实践角度着手大力推动我国移动应用生态的良好发展。

欢迎给我们留言或评论~

我们将持续发布技术解读、解决方案、行业报告

点击关注，不错过下次精彩内容