苹果蓝牙追踪器AirTag被破解；28亿iOS用户遭攻击

本周BUF大事件还是为大家带来了新鲜有趣的安全新闻，苹果蓝牙追踪器AirTag被研究人员破解；国家网信办发布《汽车数据安全管理若干规定（征求意见稿）》；1.28亿iOS用户被攻击，苹果却对此进行隐瞒；工信部通报侵害用户权益行为APP名单。想要了解详情，来看本周的BUF大事件吧！

内容梗概

苹果蓝牙追踪器AirTag被研究人员破解

上个月苹果发布了名为AirTag的蓝牙追踪器，帮助人们跟踪错放位置的物品。仅仅过去几天，这款蓝牙追踪器就被德国网络安全研究员Thomas Roth成功破解。根据演示视频，安全研究员可以对AirTag进行重新编程修改固件，调整了AirTag的功能使其处于“丢失模式”，当具有支持NFC功能的手机进行扫描时，AirTag会显示一条通知，并跳转到found.apple.com网站显示有关AirTag所有者的信息。苹果在发布AirTag时曾谈到隐私和安全性是AirTag的核心诉求，期待苹果后续如何回应这一问题。

网信办发布《汽车数据安全管理若干规定（征求意见稿）》

5月12日，国家互联网信息办公室发布关于《汽车数据安全管理若干规定（征求意见稿）》公开征求意见通知。意见稿称，“运营者收集个人信息应当取得被收集人同意，法律法规规定不需取得个人同意的除外”，倡导运营者处理个人信息和重要数据过程中坚持“默认不收集原则，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效”等。征求意见稿在5月12日-6-11日向社会公开征求意见，公众可以通过中国政府法制信息网和电子邮件等方式提出反馈意见。

1.28亿iOS用户被攻击，苹果却对此进行隐瞒

近期，Epic Games在跟苹果打官司的过程中提交的一份电子邮件，披露出有史以来最严重的iOS被黑事件。邮件显示：2015 年，一个被恶意软件感染的 Xcode 版本开始在中国流传，带有恶意软件的“XcodeGhost”应用进入了苹果的App Store。已知当时受感染的iOS应用有50多个，包括微信、网易、滴滴打车等重要应用，共有 1.28 亿用户下载了带有恶意软件的应用。而苹果方面却对此次恶意软件攻击一直保密，没有透露任何关于此次攻击活动的细节内容。

关于侵害用户权益行为的APP通报

2021年4月23日，工业和信息化部向社会通报了93家存在侵害用户权益行为APP企业的名单。截至到5月13日，尚有39款APP未按要求完成整改。另外各通信管理局按工信部APP整治行动部署，积极开展手机应用软件监督检查，内蒙古、安徽、广东、四川、浙江省（自治区）通信管理局检查发现共有46款APP仍未完成整改。此外，在近期检测中，工业和信息化部发现天涯社区、大麦、途牛旅游、VIP陪练、脉脉5家企业在APP不同版本中反复出现同类问题，工业和信息化部将依法暂停其违规行为，予以直接下架处理。