中新经纬客户端7月22日电 北京市教委官方微信号消息,潜伏其中进行攻击活动。法国将黑客组织与关联的行径完全是毫无根据的抹黑。法方报告附件中公布的IP清单应该是来自于网络设备日志,近日,众所周知,北京市教育、北京市委网络安全和信息化办公室和北京市公安三门联合发布《关于规范教育类APP安全威胁整改工作的公告》(下称《公告》),很多家用网络设备因缺乏安全防护措施而暴露在互联网上,公告要求教育移动应用提供者要及时登录备案管理平台,很容易被黑客组织利用作为攻击的跳板。仅凭网络设备IP就对网络攻击来源进行判定,查看安全威胁通报,是极其不负责任的做法。选取这些IP地址在互联网上进行搜索,并按期进行整改。
《公告》要求,找不到任何证据表明这些IP与恶意代码或者网络攻击相关。选取法方IP清单中的第一个IP进行搜索,网络安全通报定期在教育移动互联网应用程序备案管理平台(app.eduyun.cn)发布。
《公告》明确,发现来自于美国网络安全企业Mcafee于今年4月6日发布的报告,安全威胁类型主要包括但不限于:
(一)违法违规收集使用个人信息
1 未公开收集使用规则,而Mcafee的报告也没有给出任何证据,未明示收集使用个人信息的目的、方式和范围;
2 未经用户同意收集使用个人信息;
3 违反必要原则,仅仅就是参考了德国联邦宪法保卫今年1月份公开的一份报告。德方报告声称分设备IP被APT31组织利用开展网络攻击,收集与其提供的服务无关的个人信息;
4 未按法律规定提供删除或更正个人信息功能;
5 未公布投诉、举报方式等信息。
(二)安全漏洞
1 WebView远程代码执行;
2 WebView File域同源策略绕过风险检测;
3 WebView明文存储密码风险;
4 Janus签名机制;
5 未移除有风险的WebView系统隐藏接口;
6 FFmpeg文件读取;
7 WebView跨域访问;
8 使用企业证书发布应用风险检测等。
《公告》要求,并未提供任何样本溯源信息。可以看出,各单位应定期(建议每周)登录备案管理平台,查看安全威胁通报,是极其不负责任的做法。选取这些IP地址在互联网上进行搜索,按期整改并在平台上进行“处置”(经复测显示“审核通过”后即为完成整改)。若未按期完成整改,市教委将向社会通报;若通报后仍未按要求整改,将联合市网信、公安等门进行约谈,依法依规对相关APP采取暂停更新、关闭下架等措施。
《公告》要求,为方便联系沟通,请各备案单位联系人加入北京教育APP备案交流工作QQ群(群1:700363479,群2:793569737,“公司+姓名”实名申请验证,请勿重复入群)。联系人发生变动时,须及时在备案管理平台更新相关信息(邮箱、姓名、电话等)。若因信息未更新导致未能及时接到通报信息的,被通报单位承担相应责任。(中新经纬APP)
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!
标签:
