工信部回应网络安全问询

‘壹’ 工信部已对32万款App进行检测，网络信息安全该怎么保障

工信部最近对国内32万个主流app进行违规信息手机进行检测，并责令1100多家企业进行整改，并且公布了100多个收集个人隐私的app，那么这么app通过你的手机都能收集到什么呢？

作者：聚泽数码来源：今日头条|2020-10-23 10:47 收藏 分享
工信部最近对国内32万个主流app进行违规信息手机进行检测，并责令1100多家企业进行整改，并且公布了100多个收集个人隐私的app，那么这么app通过你的手机都能收集到什么呢?

现在是大数据时代，对用户的分析是基于数据分析的，那么数据哪里来呢?肯定是通过手机app收集，良心企业可能还好，黑心企业通过手机是可以手机非常多你的数据的。像基本的在电商平台浏览了多少产品，搜索过什么产品对什么样的产品有兴趣，出行轨迹，大概年龄这都是最基本的，违规手机的可能包括你的聊天记录等威胁信息安全的隐私记录等，传闻沸沸扬扬的你在手机旁边说产品电商就会推荐类似的产品也不是不可能的。

窃取用户信息在安卓阵营更严重，因为安卓的软件底层权限高，关闭了软件底层还在运转并且查询你的信息，并且各大互联网巨头在安卓阵营软件保护也是煞费苦心，所以安卓阵营信息泄露更加严重。

那么信息泄露到底有多大的危害呢对于我们普通人?互联网是有记忆的，不需要那些泄露的隐私信息，就通过你在互联网上遗留下来的信息，通过社会工程学(简称人肉搜索)就可以大概定位一个人具体是做什么的，有哪些经历等等。

1.掌握一定信息

每个操纵者想要人肉搜索一个人，首先一定要掌握一些目标信息。例如:

1.QQ号;

2.微信号;

3.网名;

4.手机号，微博号等等社交硬通账号;

只要掌握这些信息中一个或者多个，便可以对目标进行网络攻击。

2.社交软件"泄露"

人肉搜索最常用的就是现在网络查找目标QQ，微信号，手机号或者网名。如果目标曾经如小李一样在某些论坛，贴吧留下相关资料，并且被网络排查出来，那么这个就是一个突破点。而可能在这些社交软件中获取到的信息有:

1.姓名;

2.生日;

3.联系方式;

4.地址(比如有时候快递单)

5.照片.等等

当然了，这些只是有几率人看到而已，比如你没有在任何论坛，贴吧上留下资料，相关信息，那么操纵者绝对在网络上人肉不到你的相关资料。

3.QQ空间，微信朋友圈，QQ扩列资料

这些不起眼的细节，有时候也是一个致命点。像常见的QQ空间互相留名祝福，微信朋友圈发照片或者祝福，QQ扩列资料等等。

4.政府网站

有人会说，难道政府的网站也能查?!其实政府网站是用来验证的，验证资料是否正确，当然了除去政府网站，如天眼查，户口查询，手机号查询归属地等等之类信息都是需要验证的。

5.社工库

社工库的只能说你可能因为疏忽，有些人早就把你的资料录入档案，而社工库便是任人查询的时候。

我们国家从2020年3月1日起，正式明令禁止网络暴力搜索。

可以看到通过以上简单的几个步骤，并不需要多隐私的信息泄露只要花费心思就可以暴露出一个人这么多的资料，所以你说信息安全有多么的重要?

‘贰’ 工信部受理新浪微博吗

工信部受理新浪微博。
工信部官网2020年3月24日消息，3月21日，针对媒体报道的新浪微博因用户查询接口被恶意调用导致App数据泄露问题，工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈。
工信部要求新浪微博按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求，对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》，进一步采取有效措施，消除数据安全隐患。

‘叁’ 涉网络数据安全工信部问询了哪些企业

使用浏览器时摄像头悄悄打开、在电商网站上下单购物后总能收到推销电话、浏览了某个早教网站信息后就会频繁收到各种早教机构的推销电话，如果你也遇到过同样的情况，那么你的信息已经被泄露了。

7月31日，工信部消息称，对多家涉及网络数据和用户个人信息安全突出情况的企业展开问询调查。携程、腾讯、洋码头、爱奇艺等均在问询之列。

中国信通院认为，大数据已经对经济运行机制、社会生活方式和国家治理能力产生深刻影响。

但也要看到，大数据是一把双刃剑，大数据分析预测的结果对社会安全体系所产生的影响力和破坏力可能是无法预料的。

未来，基于大数据的智能决策将会在经济运行、社会生活、国家治理方面发挥更重要的作用，大数据可能会对国家“11种安全”的方方面面产生更加深远的影响。

因此，必须从“大安全”的视角审视大数据安全问题，必须站在国家总体安全观的高度，打破传统的重技术的安全保护思维模式，建立涉及经济、法律、技术等多角度全方位的大数据安全保障体系。

中国政法大学知识产权研究中心特约研究员、IT与知识产权律师赵占领则认为，企业有保护用户数据安全的责任。网络安全法等相关规定指出，企业在收集用户的信息之后，需要尽到保证信息安全的义务，无论技术还是其他管理措施。“例如撞库这种事，不一定是网络服务商的责任，要看网络服务商对用户信息的泄露有没有过错，比如是不是没有使用基本的安全措施防范。”

‘肆’ WiFi万能钥匙回应被华为下架，具体是如何回应的

原来华为官方已经给这些开发者发了邮件，表示会逐步减少WiFi和清理软件的出现，以后不会让这两类app出现在华为手机的应用市场。以前这两类app经常被投诉，后来工信部加大了对最多类型app的信息收集和处理，加大了对最多用户隐私的保护。那么如果你在搜索这类软件，只会出现快应用，并提示说“由于服务调整，暂时不提供下载。请理解。”同时，在搜索多个功能相似的app时，我也收到了同样的提醒。

如果我们只是连接到其他网络。工信部网络安全局的调查源于近期媒体的报道。据介绍，手机应用“WiFi万能钥匙”和“WiFi钥匙”具有为用户提供免费接入他人WiFi网络的功能，涉嫌入侵他人WiFi网络，窃取用户个人信息。3月29日晚，央视《经济半小时》栏目报道了WiFi万能钥匙App，称“从个人到商场，从外交大厦到金融中心，所有万能钥匙都能轻松窃取密码”。据央视报道，WiFi万能钥匙和WiFi钥匙这两款免费软件，会窥探和窃取用户手机周围和通过手机的各种WiFi信息。这个过程是在用户不知情的情况下完成的，相关信息会上传到软件后台。

‘伍’ 未及时上报安全漏洞 阿里云被工信部通报 业内人士：错在没有重视流程

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究， 现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位 。

据了解，Apache Log4j2作为阿帕奇软件基金会旗下的一款日志纪录工具，是基于Java语言的开源日志框架，被广泛用于业务系统开发。

工信部网络安全管理局曾在17日发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。其中指出， 阿里云在近日发现阿帕奇Log4j2组件存在远程代码执行漏洞 ，并将漏洞情况告知阿帕奇软件基金会。 12月9日，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告 ，阿帕奇Log4j2组件存在严重安全漏洞。

随后，工信部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

“目前来看，是阿里更早发现了这个漏洞，并将问题反馈给了Apache基金会，之后Apache为Log4j发布了新版补丁修复。但是，阿里云没有及时去向工信部申报。主要错误在于没有重视上报流程和申报漏洞。”有业内人士表示。

根据今年9月1日施行的工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》， 网络产品提供者应在发现漏洞的2日内向工业和信息化部报送漏洞信息 ，并及时进行修补，将修补方式告知可能受影响的产品用户。

据此前报道，阿里云安全团队于11月24日向阿帕奇软件基金会提交了Log4j 漏洞邮件。而根据公告，工信部是12月9日才收到上述漏洞的报告，距离阿里云首次发现已经过去了2个星期。