普普安全資訊一周概覽(0520-0526)

作者:

時間:
2023-05-26
01
2022年蘋果因隱私和安全問題封殺近170萬個應(yīng)用程序


蘋果公司的App Store團隊在2022年阻止了超過20億美元的欺詐交易,并因違反隱私、安全和內(nèi)容政策而阻止了近170萬個應(yīng)用程序提交。

此外,為了打擊賬戶欺詐行為,蘋果公司還終止了42.8萬個有潛在欺詐行為的開發(fā)者賬戶,停用了2.82億個有欺詐行為的客戶賬戶,并阻止了1.05億個有欺詐行為嫌疑的開發(fā)者賬戶創(chuàng)建。去年,App Store團隊還保護蘋果用戶免受數(shù)十萬個不安全應(yīng)用程序的影響,拒絕了近40萬個侵犯隱私的應(yīng)用程序,例如試圖在未經(jīng)用戶同意或允許的情況下收集用戶的個人數(shù)據(jù)。

另有15.3萬個因誤導(dǎo)用戶和抄襲已提交的應(yīng)用程序,約2.9萬個因使用無證或隱藏功能而被阻止進入App Store。

蘋果公司表示,'在今年的不止一個案例中,App Review發(fā)現(xiàn)應(yīng)用程序使用惡意代碼,有可能從第三方服務(wù)中竊取用戶的憑證。在其他情況下,App Review 團隊發(fā)現(xiàn)了幾個應(yīng)用程序,它們將自己偽裝成綠色的財務(wù)管理平臺,但隨后便蛻變成另一個應(yīng)用程序'。

蘋果公司還補充道,2022年,近24000個應(yīng)用程序因類似這樣的誘騙性違規(guī)行為而被封禁或從App Store中刪除。App Store應(yīng)用審查團隊平均每周審查超過10萬個應(yīng)用提交,其中約90%在24小時內(nèi)審查。


普普點評

用戶在使用應(yīng)用時需要注意防止個人信息泄露,拒絕安裝違規(guī)應(yīng)用,違規(guī)應(yīng)用會暗自收集個人信息、經(jīng)營者或不法分子故意泄露、出售或者非法向他人提供個人信息和網(wǎng)絡(luò)服務(wù)系統(tǒng)存有漏洞,造成個人信息泄露,最常見的情況就是接到詐騙電話、推銷電話和收到短信騷擾、垃圾郵件等。應(yīng)用商店企業(yè)需制定規(guī)范的程序權(quán)限要求,盡可能地維護好用戶權(quán)益。


普普安全資訊一周概覽(0520-0526)

02
三星電子核心技術(shù)遭泄露,涉事員工被解雇并移交調(diào)查

據(jù)外媒報道,三星電子的設(shè)備解決方案(DS)部門最近以涉嫌泄露包含關(guān)鍵技術(shù)的文件為由解雇了一名工程師,并要求國家機關(guān)對此事進行調(diào)查。

涉事工程師A被發(fā)現(xiàn)將數(shù)十份重要文件(包括核心半導(dǎo)體技術(shù)),發(fā)送到個人外部電子郵件賬戶,并將其中一些數(shù)據(jù)轉(zhuǎn)發(fā)到另一個外部電子郵件賬戶進行二次存儲。對于此事,三星電子采取了不同尋常的行動:三星電子在其內(nèi)部網(wǎng)絡(luò)上發(fā)布了一份全面通知,包括此前泄露事件的處罰現(xiàn)狀、對工程師A的解雇以及調(diào)查請求。這一行動可能是為了提高旗下員工對技術(shù)泄露嚴重性的認識。

此前,三星電子還有另外兩名工程師也曾因類似的行為被解雇并接受調(diào)查。一名準備跳槽到一家海外公司的工程師B,在遠程工作期間,在他的住所存儲了數(shù)百張個人電腦屏幕的照片(包含國家核心技術(shù)的關(guān)鍵數(shù)據(jù))。三星電子要求對工程師B進行調(diào)查,其犯罪嫌疑得到證實后被逮捕并移交審判。一審判處工程師B一年半監(jiān)禁,緩期兩年執(zhí)行,并處以1000萬韓元(約合人民幣52600元)罰款。檢方對此提出上訴,認為他應(yīng)該受到更嚴厲的懲罰,二審目前正在進行中。

與此類似,另外一名準備跳槽的工程師C,也被發(fā)現(xiàn)存儲了數(shù)千張重要技術(shù)數(shù)據(jù)的照片。三星同樣將其解雇并要求啟動調(diào)查程序。工程師C在上個月被法院判處有期徒刑。這次檢方同樣認為量刑過于寬大并對這一判決提出上訴。


普普點評

公司對員工關(guān)于數(shù)據(jù)的訪問,需要進行帳號權(quán)限的劃分,三權(quán)分立,知其所需,通過完善接入安全,固定接入的終端設(shè)備、應(yīng)用接口,將非法接入拒之門外,同時采用多因素認證(MFA)方式和強口令認證,周期性修改口令,防止弱口令和權(quán)限泄露;數(shù)據(jù)相關(guān)的系統(tǒng)更改不安全的默認配置,進行加固操作;對數(shù)據(jù)根據(jù)重要程度和敏感級別進行分級,劃分訪問權(quán)限;存儲和傳輸數(shù)據(jù)時,進行敏感數(shù)據(jù)脫敏和加密處理,同時對內(nèi)部員工進行安全培訓(xùn),提供保障數(shù)據(jù)安全意識。


普普安全資訊一周概覽(0520-0526)

03
ChatGPT 登錄蘋果App Store

近期,OpenAI 發(fā)布推文宣布“在美國推出了適用于iOS的ChatGPT應(yīng)用程序,并表示未來幾周將擴展到其他國家”。該APP可免費下載,OpenAI表示支持安卓系統(tǒng)的App應(yīng)該“很快”會到來。到下午5點,OpenAI的推文超過一百萬的瀏覽量。

從去年11月ChatGPT的網(wǎng)頁版發(fā)布以來,ChatGPT 在全球擁有超過1億的用戶。此次在手機端上架的是OpenAI最新、最強大的大語言模型ChatGPT-4。該應(yīng)用程序上架后將跨設(shè)備同步你的歷史記錄,并帶來OpenAI最新的模型改進。

據(jù)App Store稱,目前ChatGPT手機版可以在App Store 中免費下載,僅限美國12歲及以上的用戶使用。手機版的ChatGPT將能夠執(zhí)行與其網(wǎng)頁版相同的任務(wù),為用戶提供即時答案、定制建議、創(chuàng)意靈感、專業(yè)意見和個性化學(xué)習(xí)。

對于那些關(guān)注數(shù)據(jù)隱私的人,OpenAI表示,在APP描述中會展現(xiàn)所需要收集的數(shù)據(jù),包括你的電子郵件地址、姓名和電話號碼,以及你與其他產(chǎn)品之間的交互信息。


普普點評

ChatGPT作為一種集自然語言處理和機器學(xué)習(xí)技術(shù)于一體的聊天機器人,可以幫助企業(yè)和個人提升效率、提高服務(wù)質(zhì)量,它具有強大的語言理解、智能匹配和人性化交互等特點。未來,ChatGPT將會不斷創(chuàng)新發(fā)展,為更多的用戶提供更好的服務(wù)。然而,AI智能機器人對人類價值觀、思想道德、文化遺產(chǎn)的侵蝕和扭曲也是亟待解決的隱患。首先,要強化AI規(guī)范和制度建設(shè),為AI機器人提供一個安全的發(fā)展環(huán)境,并采取一系列的技術(shù)手段去保護公民隱私和信息安全。最后,也要加強文化教育,培養(yǎng)公民的正確價值觀和豐富思想內(nèi)涵,防止人類價值觀受到扭曲和歪曲。


普普安全資訊一周概覽(0520-0526)

04
“GPT克隆人”計劃開啟,微軟小冰擬在年底打造十萬AI克隆人

日前,微軟小冰宣布啟動“GPT克隆人計劃”。該項目最短只要采集三分鐘數(shù)據(jù),即可為明星紅人、專家學(xué)者或普通人創(chuàng)造源于本人性格、技能、聲音、外貌的AI克隆人。同時將提供平臺,便于本人把認證的克隆人,有償或無償提供給自己的受眾。

據(jù)悉,克隆人基于小冰框架大模型、神經(jīng)網(wǎng)絡(luò)渲染及超級自然語音技術(shù),可進行實時情感交互、提供AIGC能力,甚至有自己的朋友圈,就像人類在平行世界的第二人生。目前,該計劃已在中國和日本啟動報名,首批克隆人計劃于一個月內(nèi)正式上線。

這無疑是一項大膽的計劃,但小冰公司在探索人工智能的多元屬性方面一向不吝嘗試。

早在2021年9月,小冰公司就推出了全球首個人工智能和真實人類“混居”的社交App小冰島。

為何要打造這樣一個平臺,小冰公司CEO李笛曾在發(fā)布會上這樣說:“我們希望去觸摸到一個未來,它是千千萬萬個人類和千千萬萬高度定制化的人工智能共同構(gòu)成的新的社交網(wǎng)絡(luò)?!?/span>

在小冰島上,用戶不僅可以創(chuàng)造出各種AI個體,還可以通過關(guān)鍵詞用AI創(chuàng)作小說、樂曲。擬人AI永遠在線,幾乎可以以假亂真,從而填補用戶碎片化的社交需求。


普普點評

對人來說最大的需要就是克服孤獨感和擺脫孤獨的監(jiān)禁。從這一角度來看,AI能夠為處于孤獨和壓力之中的現(xiàn)代人,提供獨特的情緒價值。情緒價值本來就難能可貴,如果能成功轉(zhuǎn)化為真金白銀的商業(yè)價值也無可厚非。

但是數(shù)字生命再美,終究也只是由數(shù)字構(gòu)成,沒有現(xiàn)實生命的蓬勃生機和內(nèi)在力量。就像我們或許能“復(fù)制”逝者聊以慰藉,卻無法跨越生與死的界限。在擁抱技術(shù)進步的同時,如何讓技術(shù)真正地為人類帶來福祉,而不是導(dǎo)向失序與脫軌,是我們需要不斷反思的課題。


普普安全資訊一周概覽(0520-0526)

05
Google宣布:將刪除閑置時長超過2年的賬戶

谷歌近日更新了其平臺個人賬戶的使用政策,如果用戶注冊的賬號超過兩年未使用,其賬號內(nèi)包含的所有內(nèi)容、設(shè)置、首選項和用戶保存的數(shù)據(jù)將會被刪除。當然,也包括存儲在Gmail、Docs、Drive、Meet、Calendar、Google Photos和YouTube等服務(wù)上的所有數(shù)據(jù)。不過,這項新政策不針對學(xué)校、企業(yè)等組織的谷歌賬戶。

谷歌方面表示,出臺這條政策主要是為了加強網(wǎng)絡(luò)安全。因為這些不常使用的賬戶經(jīng)常會成為黑客劫持網(wǎng)站的攻擊目標,受攻擊的原因通常是因為弱密碼、弱口令。

谷歌產(chǎn)品管理副總裁Ruth Kricheli稱,據(jù)公司內(nèi)部分析,這些被遺棄的賬戶設(shè)置兩步驗證的可能性至少比那些活躍賬戶低10倍。這意味著,這些賬戶極易受到攻擊,一旦賬戶被攻破,它就可以被用來做任何事情,比如盜取用戶身份發(fā)送惡意內(nèi)容、垃圾郵件等。

這項新政策將立即生效,第一批達到新不活躍閾值的賬戶將于2023年12月被刪除。不過,也不是所有超過兩年未使用的谷歌賬戶都會被刪除。

谷歌方面表示,他們此次的賬戶刪除行動會從創(chuàng)建后從未使用過的賬戶開始,然后一步步分階段進行。這些將被刪除賬戶的用戶們將在帳戶刪除前幾個月收到多封恢復(fù)賬戶的郵件,以便他們能夠及時采取行動。


普普點評

弱密碼的產(chǎn)生原因與個人習(xí)慣和安全意識相關(guān),為了避免忘記密碼,使用一個非常容易記住的密碼,或者是直接采用系統(tǒng)的默認密碼等。通過弱口令,攻擊者可以進入后臺修改資料,進入金融系統(tǒng)盜取錢財。

無論是出于工作原因還是個人原因,很多人都需要注冊谷歌賬戶并十分依賴使用它,但他們天真地認為谷歌賬戶是無懈可擊的,甚至把它們當作一個數(shù)字生活的永久存儲庫。但正如谷歌在這次推出的新政策中提到的:如果用戶沒有注意到賬戶關(guān)停警告,未在截止日期前登錄,那么其使用多年的電子郵件、附件和個人文件可能都會被刪除。


普普安全資訊一周概覽(0520-0526)

06
12億歐元!Meta因向美國傳輸數(shù)據(jù)被歐盟重罰

歐盟數(shù)據(jù)保護監(jiān)管機構(gòu)對Facebook的母公司Meta處以了創(chuàng)紀錄的12億歐元罰款,因Meta非法將歐洲公民的個人數(shù)據(jù)傳輸?shù)矫绹?。這項罰款是歐盟自《通用數(shù)據(jù)保護條例》通過以來的最大一筆罰款,遠超此前2021年7月以隱私違規(guī)為由對亞馬遜處以的7.46億歐元。

除罰款外,歐洲數(shù)據(jù)保護委員會(EDPB)還要求這家社交媒體巨頭自通知下達之日起五個月內(nèi)中止任何向美國傳輸個人數(shù)據(jù)的行為;六個月內(nèi)停止在美國非法存儲及處理違反《通用數(shù)據(jù)保護條例》(GDPR)傳輸?shù)臍W盟公民個人數(shù)據(jù),并使其處理業(yè)務(wù)符合規(guī)定。

歐洲數(shù)據(jù)保護委員會強調(diào),美國缺乏與《通用數(shù)據(jù)保護條例》相當?shù)碾[私保護,這可能會使美國情報機構(gòu)能夠訪問屬于歐洲公民的數(shù)據(jù)。

Meta目前正在等待一項新的歐盟-美國數(shù)據(jù)隱私框架(DPF)通過(旨在實現(xiàn)跨大西洋數(shù)據(jù)的自由流動),如果DPF能夠及早生效,Meta在歐盟的服務(wù)或許就能夠照常進行并且無需再支付罰款。但事情可能不會如此順利,隱私活動家Schrems認為,除非美國監(jiān)控法得到修正,否則新協(xié)議只有一成概率不被歐盟委員會廢除,Meta可能不得不將歐盟數(shù)據(jù)保留在歐盟之內(nèi)。


普普點評

數(shù)據(jù)跨境是經(jīng)濟發(fā)展的的必然要求,跨國企業(yè)的經(jīng)營、人口的跨境流動、互聯(lián)網(wǎng)無國界的特點都要求數(shù)據(jù)有廣泛的跨境流動。但同時數(shù)據(jù)跨境也關(guān)系到國家安全、公民健康安全等。

我國立法中是嚴格限制數(shù)據(jù)出境,采取的是原則上本地存儲、出境安全評估的立法模式。目前為止關(guān)于數(shù)據(jù)跨進流通的法律法規(guī)主要散見于在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《國家安全法》《民法典》《刑法》等法律之中。尚無具體的數(shù)據(jù)出境具體操作的法律法規(guī)出臺。


普普安全資訊一周概覽(0520-0526)

07
將Windows與ChatGPT徹底打通,微軟即將引入AI助理

再過不久,AI即將迎來一次新的進化,不再局限于回答問題。

5月23日,微軟在其年度Build開發(fā)者大會上宣布,將在Windows 11中引入一個名為Windows Copilot的人工智能助手,打造首個提供集中式AI輔助功能的PC平臺。

Windows Copilot是一個集成在操作系統(tǒng)中的側(cè)邊欄工具,旨在協(xié)助用戶高效完成各種任務(wù)。大家可以通過以下實例感受其所帶來的便捷性:

1、集成到系統(tǒng)之中的人工智能助手。如果用戶詢問Windows Copilot“如何調(diào)整系統(tǒng)以便更好地工作”,它就會給出相應(yīng)的建議供用戶選擇,用戶只需點擊“yes”,系統(tǒng)就會一鍵應(yīng)用該設(shè)置。

2、當用戶閱讀一篇文檔時,用戶只需在Copilot中輸入“解釋”、“重寫”、“總結(jié)”等命令,Copilot便會自動根據(jù)文檔內(nèi)容輸出用戶所要求的內(nèi)容。利用好這種功能,毫無疑問能夠大幅度提高日常工作和學(xué)習(xí)效率。

3、Windows Copilot支持調(diào)用電腦上的軟件執(zhí)行任務(wù),假如用戶某天工作時心血來潮想要播放一首合適的背景音樂,跟Windows Copilot提出要求即可。

4、能夠通過各種插件簡化工作流程。用戶可以讓W(xué)indows Copilot輔助設(shè)計Logo。甚至在設(shè)計完成之后,把該Logo發(fā)到工作群里這件事都可以交給AI去做。

微軟表示,Windows Copilot將與Bing Chat以及第一、第三方插件一起,幫助用戶更輕松地完成復(fù)雜項目及協(xié)同工作。微軟官網(wǎng)上說,Windows Copilot將于今年6月開始在Windows 11中推出預(yù)覽版。


普普點評

在與微軟CTO Kevin Scott的對談中,OpenAI聯(lián)合創(chuàng)始人Greg Brockman就談到了OpenAI與微軟成功合作的原因:“我們擁有一個端到端的平臺,來構(gòu)建AI應(yīng)用程序?!?/span>

所謂的“端到端”,既要求企業(yè)有完整的應(yīng)用和配套的工具生態(tài),又要求云等強大的基礎(chǔ)設(shè)施——這也讓Brockman下判斷,最有趣的Copilot不會在開源社區(qū)中建立。

除此之外,“Open Ecosystem(開放的生態(tài))”是會上不斷被提及的關(guān)鍵詞。微軟的AI“全家桶”顯然為此做好了充足準備——跨Bing和ChatGPT的插件生態(tài)瞄準個人用戶,而基于Azure服務(wù)和Copilot的低代碼開發(fā)生態(tài),則瞄準企業(yè)用戶。

短短數(shù)月,AI大模型帶來的革命浪潮,已經(jīng)從單點技術(shù),快速蔓延到全球軟件生態(tài)。