16 个新的 CODESYS SDK 漏洞使 OT 环境受到远程攻击

近日，国家信息安全漏洞库（CNNVD）收到关于微信支付SDK XXE（XML External Entity）漏洞（CNNVD-201807-083）情况的报送。成功利用该漏洞的攻击者可以远程读取服务器文件，获取商户服务器上的隐私数据，甚至可以支付任意金额购买商品。

《安全要求》给出了智能手机预装应用程序的基本安全要求，适用于智能手机生产企业的生产活动，也可为相关监管、第三方评估工作提供参考。《安全要求》明确了可卸载范围，指出除系统设置、文件管理、多媒体摄录、接打电话、收发短信、通讯录、浏览器、应用商店等直接支撑操作系统运行或实现智能手机基本功能所必须的基本功能应用程序外，智能手机中其他预装应用程序均应可卸载。

近年来，以智能手机及其周边设备为代表的智能移动终端迅速普及，但涉及智能移动终端信息安全问题的相关报道也呈现上升趋势。通过以当前智能移动终端与信息安全发展现状为出发点，梳理智能移动终端信息安全功能的发展历史，总结平台结构的主要特征，论述了智能移动终端信息安全风险现状及对策，展望未来信息安全风险的研究方向。

（二）适用范围《工程指南》提出了个人信息安全工程的原则、目标、阶段和准备，提供了网络产品和服务在需求、设计、开发、测试、发布阶段落实个人信息安全要求的工程化指南。在发布阶段，对个人信息保护影响评估相关文档进行评审、签发及归档。《工程指南》对PIA与产品服务规划建设的同步开展的强调，体现其与对个人信息保护的深刻理解。

2022年3月15日，中央电视台“315”晚会再次聚焦APP合规话题，晚会以《“免费WiFi”App暗藏陷阱》和《低配儿童智能手表成行走的偷窥器》为题，对打着免费自动连接WiFi名义实际进行“欺骗误导用户下载APP”和“欺骗误导用户提供个人信息”的违规行为，以及依托穿戴设备进行“APP强制、频繁、过度索取权限”进行深度报道。

实验室曝光的“虚假Wi-Fi连接”类App后台高频次搜集信息乱象，以及通报“2021年工业和信息化部‘聚焦违规调用手机权限，超范围收集个人信息’等APP专项整治工作”成果，……

近年来，开放银行作为新金融形势下金融科技的前沿模式，成为转型数字化、平台化、生态化的内在驱动，为银行业务改革、转型升级、提质增效提供新机遇。

2020年3月9日，国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告（2020年第1号），全国信息安全标准化技术委员会归口的国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》完成修...

国家计算机病毒应急处理中心近期通过互联网监测发现15款移动App及1款SDK（软件开发工具包）存在隐私不合规行为，违反《网络安全法》《个人信息保护法》相关规定，涉嫌超范围采集个人隐私信息。 1、隐私政策中未对个人信息处理者的基本情况进行描述，涉嫌隐私不合规。涉及1款SDK如下： 《Agora Video Call》（版本6.2.8）。