中国信通院:八成互联网电视系统存非法采集共享用户数据问题

中国信通院:八成互联网电视系统存非法采集共享用户数据问题 6 月 17 日,中国信通院联合电信终端产业协会发布的《OTT 终端数据安全和个人信息保护研究报告(2022 年)》显示,我国互联网电视用户数 10.83 亿户,并有 80% 的电视系统存在用户数据被非法采集共享的问题。 《研究报告》指出,75% 的被测电视操作系统存在已知安全漏洞;80% 存在调试接口防护问题;应用安装、语音控制模块普遍存在安全隐患;60% 的预装 App 存在违规采集共享 MAC 地址等不可变更设备标识的问题;80% 电视系统的内置 SDK、预装应用存在未获得用户同意向第三方共享用户敏感数据的问题;App 隐私政策普遍存在内容展示不完善等问题。 罚酒三杯,下不为例

相关推荐

封面图片

【币安驳斥其与俄罗斯情报部门共享用户数据的指控】

【币安驳斥其与俄罗斯情报部门共享用户数据的指控】 4月23日,币安驳斥了路透社的一份报告,该报告声称币安去年同意向俄罗斯执法部门提供用户数据。币安在一份声明中表示,“关于币安与俄罗斯FSB控制的机构和俄罗斯监管机构共享任何用户数据(包括 Alexei Navalny)的建议是绝对错误的。”此前消息,据路透社报道,币安为了改善与世界各国政府的关系,同意与收集和分析金融交易信息的俄罗斯机构共享用户信息。
封面图片

#互联网观察▎搜狗定制版输入法 :明文传输用户数据且共享给广告商

#互联网观察 ▎搜狗定制版输入法 :明文传输用户数据且共享给广告商 据哔哩哔哩 UP 主 @EPCDIY 以及 360 安全工程师边亮联合发布的视频,他们发现某知名手机品牌内置的中文输入法竟然还使用 HTTP 明文协议传输数据。 根据视频不难发现,视频中提及的是三星的手机以及搜狗定制输入法。根据 UP 主的说明,这个问题此前已经通报给了三星,三星承认问题并发布补丁进行修复,现在视频公开了应该就是修复了。 ▎相关报告及引用 本文参考了以及bilibili网UP主 @EPCDIY的。 频道 @AppDoDo
封面图片

#互联网观察 #数据泄露

#互联网观察 #数据泄露 ▎多邻国 :260万用户数据被再次公开 Duolingo是一个拥有超过5亿注册用户和6000万月活跃用户的语言学习平台,该用户数据早在今年1月份被有偿出售,但现在已经被BreachForums论坛用户提供代价为8个论坛币(约为2美元)的下载。 ▎数据内容 电子邮件地址、用户名、真实姓名、电话号码(如果用户提供的话)、社交网络信息,以及其他如语言学习、经验、进度和成就等一般信息 ▎泄露原因 Duolingo的API中存在漏洞,只要向该API发送一个有效的电子邮件,就可以返回该用户的一般帐户信息。该用户数据目前仍然可以被抓取。 频道 @AppDoDo
封面图片

#互联网观察 #数据泄露

#互联网观察 #数据泄露 ▎多邻国 :260万用户数据被再次公开 Duolingo是一个拥有超过5亿注册用户和6000万月活跃用户的语言学习平台,该用户数据早在今年1月份被有偿出售,但现在已经被BreachForums论坛用户提供代价为8个论坛币(约为2美元)的下载。 ▎数据内容 电子邮件地址、用户名、真实姓名、电话号码(如果用户提供的话)、社交网络信息,以及其他如语言学习、经验、进度和成就等一般信息 ▎泄露原因 Duolingo的API中存在漏洞,只要向该API发送一个有效的电子邮件,就可以返回该用户的一般帐户信息。该用户数据目前仍然可以被抓取。
封面图片

中国央行发力迫使大型科技企业与国家共享用户数据

中国央行发力迫使大型科技企业与国家共享用户数据 中国央行正在努力让十几个领先的互联网集团遵守 12 月的最后期限,与国家支持的信用评分公司共享用户的个人信息。 据了解谈判情况的人士透露,中国人民银行要求腾讯、美团和其他大型平台在下个月初与两个国家支持的集团百航和普道共享用户数据,从购物记录到旅行历史。 知情人士说,百航和普道会反过来向银行提供数据,收取费用,以帮助他们评估潜在借款人的信誉,但互联网集团反对这种安排。 去年,中国人民银行开始禁止在线平台将其用户数据直接出售给银行,理由是担心可能滥用个人信息。但一位央行顾问表示,这种做法仍在继续,因为贷方不想支付百航和普道收取的更高费用。 “平台和银行都没有动力去遵循损害其业务的命令,”这位顾问说,由于此事的敏感性,他要求不具名。 中央银行的命令适用于寻求与商业贷方合作向个人或小企业发放贷款的互联网集团。
封面图片

#互联网观察 #隐私▎搜狗输入法:用户数据被窃听

#互联网观察 #隐私 ▎搜狗输入法:用户数据被窃听 来自多伦多大学的公民实验室报告指出,通过分析搜狗输入法的 Windows、Android 和 iOS 版本,发现软件的定制设计的“EncryptWall”加密系统及其加密敏感数据的方式存在严重漏洞,包含敏感数据(例如包含用户击键的数据)的网络传输可以被网络窃听者破译,从而知晓用户在键入时键入的具体内容。 ▎沟通时间线 实验室在5月31日向腾讯报告了此漏洞,但有趣的是,腾讯在第一次回复该漏洞时指出:“此问题不存在低或低安全风险”,而在18小时后又回复“抱歉,之前的回复有误,我们正在处理这个漏洞,请不要公开,非常感谢您的报告。”随后在7月20日的更新版本中修复了该漏洞。 研究人员在与腾讯沟通时遭遇了一些困难,原因是他们的电子邮件域(citizenlab.ca)在中国被屏蔽。他们发现电子邮件域被国家防火墙注入了异常的DNS,以响应对这个域的查询。这可能导致腾讯的邮件没有被正确地发送到citizenlab.ca的邮箱。 ▎评估总结 搜狗输入法,一个拥有超过4.5亿用户的应用程序,未能正确保护传输的敏感数据,例如用户的键盘输入。这使得任何网络窃听者都可以恢复这些数据。这种漏洞本可以通过采用TLS(传输层安全)来轻易避免,而不是使用“自制”加密。 尽管现在已经解决了报道的漏洞,但搜狗应用依然依赖于将键入的内容传输到搜狗的服务器。这意味着,来自世界各地的用户的键入内容都被传输到中国大陆的服务器。这些服务器在中国政府的法律管辖之下。高风险的搜狗用户应该保持警惕,因为输入的内容可能包括敏感或个人信息。 由ChtGPT阅读文档并总结,频道 @AppDoDo

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人