有圖有真相，看點兒不一樣的信息安全快訊

最新漏洞

政府舉措

教育部等三部委規範信息公開：確保隱私信息安全

12月5日，教育部、人社部、財政部三部委辦公廳下發《關於在就業補助資金使用信息公開中進一步加強個人信息保護的通知》(以下簡稱《通知》)。《通知》指出,個別地區在就業補助資金使用信息公開中,由於專業性、規範性不足,存在享受補貼人員個人信息和隱私泄露的隱患。

各地務必高度重視,將個人信息保護與資金規範管理、信息公開公示等工作放在同等重要的位置上考慮,處理好政府信息公開與個人信息保護的關係,既保證資金使用公開透明,也杜絕個人敏感信息泄露,維護好勞動者信息安全和合法權益,使就業政策落實更規範、更安全、更有溫度。此外,教育部就學生獎助學金公示時泄露學生隱私信息的情況,緊急連下了兩道清理令,要求保護學生個人信息和隱私,全面清理和規範學生資助公示信息。比如近日教育部發布《全國學生資助管理中心發布第9號預警:保護學生個人信息和隱私,資助工作者要「擰緊這根弦」》。12月1日,又印發緊急通知,要求全面清理和規範學生資助公示信息。（來源：法制網）

互聯網大會重磅發布藍皮書：網路安全是發展的重要指標

本屆互聯網大會的重頭戲,莫過於發布的兩個重磅藍皮書《世界互聯網發展報告2017》《中國互聯網發展報告2017》,不僅全面展現世界各國和中國互聯網發展現狀及未來趨勢,同時把網路安全納入互聯網發展程度的評價維度指標,提升到了新的高度。

對於網路安全行業而言,兩本藍皮書總論部分發布了世界互聯網發展指數指標體系和中國互聯網發展指數指標體系,把基礎設施、創新能力、產業發展、網路應用、網路安全、網路治理六大維度的指標作為綜合評估標準。（來源：鳳凰科技）

德國準備起草法律要求所有設備包含後門

德國當局正著手起草法律強制性要求所有設備製造商在其產品中包含後門，允許執法機關在法律調查中根據需要使用。法律將針對所有現代設備，包括汽車、手機、計算機、物聯網產品等等。官員預計將會在本周遞交法律提議進行辯論。

德國內政部長 Thomas de Maizier 支持這項立法，他在過去幾個月對此談及了執法機構調查恐怖分子襲擊和其它犯罪活動上的困難。（來源：solidot奇客）

網路安全事件

惠普電腦驅動再次被發現內置按鍵記錄器

上次是音效卡，這次是觸摸板，惠普電腦再爆暗藏鍵盤記錄器！

惠普數十款筆記本電腦的 Synaptics 觸控板驅動程序 SynTP.sys 被發現內置了按鍵記錄器，雖然記錄功能默認沒有啟用，但只需要設置一個註冊表項的值就能啟用，這無疑是一個巨大的安全隱患。惠普已經證實了此事，並釋出了緊急更新，移除了按鍵記錄器。

受影響的筆記本型號可以瀏覽官方公布的列表，受影響的用戶最好儘快更新。

惠普稱潛在安全漏洞影響所有 Synaptics OEM 合作夥伴，攻擊者需要管理許可權才能利用這個漏洞。（來源：solidot奇客）

蘋果緊急修復iOS 11.2漏洞

近日，有用戶發現最新版本的iOS 11.2出現了一個HomeKit漏洞，隨後，蘋果公司針對此事發出聲明稱，「iOS 11.2中有關HomeKit的問題已經得到解決。本次修復將暫時禁用共享用戶遠程訪問，下周的軟體更新將徹底修復。」

HomeKit是蘋果的智能家居平台，而此漏洞可能讓未經授權的用戶訪問智能門鎖等HomeKit設備，當然利用這一漏洞需要一款已經刷了新系統的iPhone或iPad，舊版本的iOS系統是無法被使用的。從目前問題解決來看，用戶可以像以往一樣信任HomeKit框架下的智能家居產品，但是不得不說的是，蘋果今年的軟體bug著實不少，有些可說是相當低級的，所以，蘋果的軟體工程師需要高度警惕了，小心丟掉自己的工作。（來源：中關村在線）

快卸載！這8款APP存在隱私竊取和流氓行為

國家計算機病毒應急處理中心近期通過對互聯網監測，發現8款違法有害移動應用存在於移動應用發布平台中，其主要危害涉及隱私竊取和流氓行為兩類。

這些違法有害移動應用具體如下：《歡聊》(版本V2.0.1_0edd508)、《仿Iphone來電閃光》(版本V2.1.3)；這兩款移動應用均存在危險行為代碼，警惕該軟體私自下載安裝軟體，竊取用戶隱私信息，造成用戶隱私泄露資費消耗。

給網站加裝代碼抓取百萬手機號

不法人員編寫用於抓取手機號的代碼，當用戶用手機瀏覽被加裝代碼的網站時，就會被抓取手機號等信息。近日，海淀警方破獲一起涉及15省18地市的特大非法獲取公民個人信息案，查獲非法涉案網站26個、手機號等個人信息上百萬條。目前，33人因涉嫌侵犯公民個人信息罪已被檢察機關批准逮捕。

海淀分局網安大隊民警調查發現，這個網站為一些「專科醫院」、「美容醫療機構」網站出售抓取代碼，不過這些代碼只是在該網站代銷，編寫的另有其人。據介紹，梁某等嫌疑人均已承認製作、銷售、購買抓取手機號代碼的犯罪事實。目前，案件仍在進一步工作中。（來源：新京報）

俄羅斯安全公司：iOS 11 加密備份更容易破解

俄羅斯電腦安全程序公司 ElcomSoft 表示iOS 11 加密備份比以前的 iOS 版本更容易破解。

根據 ElcomSoft 的說法，一些可以通過物理方式訪問運行 iOS 11 的 iPhone 或 iPad 設備的黑客或者執法者如果他們重置設備上的密碼，然後使用新密碼創建新的加密備份，就可以使用新密碼配合專門軟體來訪問存儲在本地加密備份中的數據，例如 ElcomSoft Phone Breaker 等特定應用程序。毫無疑問，攻擊者首先需要知道你的密碼才能在創建新的備份之前訪問你的 iOS 設備，但是比以前更容易解密加密的 iOS 備份，這使得蘋果的 iOS 操作系統不太安全。（來源：cnBeta .com）

谷歌徹底刪除Chrome應用板塊 2018年全面停用

谷歌早在一年前就宣布，Windows、Mac和Linux版Chrome瀏覽器將無法使用應用，而現在，該公司已經徹底從Chrome Web Store中刪除了應用板塊。谷歌之前表示，之所以做出這一決定，是因為幾乎沒有人使用這些應用。

不過，谷歌正在為Chrome增加一種新的應用——Progressive Web Apps（PWA），之前也進行過測試。這種模式目前已經可以在Android版Chrome上使用，而且也可以用在其他瀏覽器上。

簡而言之，PWA為網站提供了像應用一樣的功能，還有一個「應用圖標」，甚至能提供推送通知和離線功能。據報道，谷歌計劃在2018年中開始讓PWA兼容桌面版Chrome。（來源：新浪科技）

流行虛擬鍵盤 APP AI.type 收集並泄露 3100 萬用戶信息

流行虛擬鍵盤 Ai.type 是一款定製化、私人化的手機等移動設備屏幕鍵盤，在全球擁有超過 4 千萬的用戶。此次泄露主要是因為其公司的 MongoDB 資料庫配置錯誤，導致公司 577 GB 的資料在線泄露。被泄露的用戶信息包括：

全名、電話號碼、郵箱；

設備名稱、屏幕解析度和型號；

安卓版本、 IMSI 號碼、IMEI 號碼；

移動網路名稱、現居住國甚至用戶掌使用的語言；

IP 地址（只要能獲取到）、GPS 定位（經度緯度定位）；

與社交文檔有關的信息，包括生日、郵箱、照片等

用戶安裝 Ai.type 時，必須給予「完整許可權」才能順利使用。而 Ai.type 正是利用這一點收集了用戶的詳細信息。泄露的信息表明，Ai.type 還在暗中獲取用戶的通訊錄信息（聯繫人姓名、手機號等），涉及 37300 萬記錄。（來源：TheHackerNews）

數據統計

中國企業對網路安全投入較全球平均值高出1/4

近日，普華永道發布了最新的全球信息安全狀況調查，調查結果顯示，中國內地與香港的企業在網路安全方面的平均投入比全球數值高出23.5%，受訪企業的平均預算達630萬美元。在具體的投資布局上，64%的受訪企業將物聯網安全（IoT）標記為最優先項，60%的受訪者看重企業業務、數字化與IT三部分的融合，而生物識別技術和高級認證機制則位列第三，得到57%受訪者的認同。

72%的中國內地與香港受訪企業對此有積極回應，表示其針對物聯網安全的戰略已經就位，這一數值高於全球水平的67%。

中國內地與香港有46%受訪者表示客戶數據泄露是最直接影響，而財務損失（38%）和商業郵件入侵（36%）緊隨其後。（來源：界面）

近四成網路用戶無視安全警告

據《2016-2017中國互聯網信用報告》顯示，將近40%的用戶在上網時看到網頁提示的「安全威脅」標識仍然持「無所謂」的態度「繼續瀏覽」。

2016年互聯網信用認證平台共收集、接到投訴曝光內容269萬，在被投訴的領域中，網路安全詐騙、房地產、金融行業、醫療行業依然為投訴熱點行業。其中網路安全詐騙佔比最高，佔總比例的14.43%。

報告發現，北京網民的維權意識最高。從地域分布來看，北京、廣東投訴數量遠遠超過其他省份。

關於如何判斷手機網頁、手機APP等平台的可靠性，近六成的網民會通過身邊朋友的評價和網上的口碑來分析，四成多的網民會通過過往經歷進行判斷。通過權威的第三方認證標識、諮詢徵信公司和工商稅務等政府部門信息判斷的網民所佔比例僅有37.19%、16.12%和9.5%。（來源：北京日報）

人才培養

將AI列入中小學必修課？各國為培養AI人才操碎心

人工智慧的競爭是以頂級人才為根本，如何培養出能夠引領AI發展的頂級人才是提高核心競爭力的關鍵。騰訊研究院發布的《2017全球人工智慧人才白皮書》顯示，人工智慧領域人才分布極不平衡，全球AI領域人才約30萬，而市場需求卻在百萬量級，全球共有367所具有人工智慧研究方向的高校，每年畢業AI領域的學生約2萬人，遠遠不能滿足市場對人才的需求。

中國在《國家中長期人才發展規劃綱要(2010-2020年)》中提出「千人計劃」，建設一批海外高層次人才創新創業基地，用5-10年時間引進2000名左右海外高層次人才回國創新創業，而其中很多都是人工智慧領域的佼佼者，這將大大促進中國人工智慧領域的發展。而英國政府通過提供研究資金，在本國領先大學中設立由企業資助的大學AI碩士課程，並增加了200多個人工智慧博士學位，以優厚的條件吸引來自世界各地，擁有不同背景的人才。日本則計劃從2020年起，將編程列入中小學必修課程，力爭AI培養從娃娃抓起。（來源：第一財經網）

漏洞速遞