Aggregator

关于侵害用户权益行为的APP（SDK）通报

（2026年第1批，总第54批）

工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续整治APP侵害用户权益的违规行为。近期，经组织第三方检测机构进行抽查，共发现22款APP及SDK存在侵害用户权益行为（详见附件），现予以通报。

上述APP及SDK应按有关规定进行整改，整改落实不到位的，工信部将依法依规组织开展相关处置工作。

来源：工信微报

近日，工信部通报2026年第一批侵害用户权益的APP及SDK，共22款产品被点名，问题集中爆发于违规收集个人信息、强制自动续费、窗口乱跳转、过度索取权限等典型违规行为，覆盖社交、工具、出行、游戏、生活服务等多个领域，反映出违规行为已跨行业、跨平台普遍存在。

截至目前，工信部已累计开展54批通报，查处力度不断加大，监管范畴从APP延伸至SDK，从收集行为扩展到使用全流程。这意味着：

·合规审查已成为上架与运营的前提

·问题整改不到位将面临下架、通报、行政处罚等多重风险

·用户隐私意识觉醒，合规也是市场竞争力的体现

不少企业仍存在认知误区，例如认为 “非头部企业不易受监管关注” “技术开发优先、合规可后续补充” “隐私政策具备即可，实际执行可放松”。然而，本次通报名单中涵盖了大量中小型开发商、工具类应用及地方服务平台，清晰表明：监管无死角，合规无侥幸。

梆梆安全移动应用合规检测框架

梆梆安全基于十余年移动安全领域的技术沉淀与实践经验，系统构建了专业的移动应用合规检测框架。该框架覆盖应用全生命周期，通过自动化检测与深度分析，精准识别隐私合规风险，并输出详实的风险评估报告与可操作的整改建议，助力企业构建用户信任、监管认可、业务可持续的合规体系。

在移动应用快速迭代的开发环境下，单一依赖自动化工具或纯人工检测均难以全面应对合规挑战。梆梆安全提供采用“工具检测+人工验证”相结合的方式，在保障检测准确性的同时提升效率，真正适配敏捷开发中的合规管理需求。

在监管持续强化、用户权益意识日益提升的今天，系统化构建合规能力，已成为企业实现可持续、负责任发展的核心基础。

行业实践

某全球性智能物联企业，其业务涵盖物联感知、人工智能及大数据技术体系，为150多个国家和地区的多行业提供安防与数字化服务。为提升产品性能与业务效率，该企业开发一款APP，但随之面临算法易遭反编译与破解的安全挑战。梆梆安全为此提供了一套覆盖Android、iOS、鸿蒙及IoT终端的定制化加固方案，并通过适配客户内部流程，实现技术与管理协同防护，在保障核心知识产权安全的基础上，该方案支持了企业业务持续发展，提升了整体安全防护效能。

随着物联网行业向移动化与智能化深入演进，越来越多的企业通过APP延展其服务场景与用户体验。该客户开发了一款APP，旨在提升业务响应效率与产品竞争力。为此，该客户将核心算法从服务端迁移至客户端，以降低网络延迟、优化使用体验，但这也带来算法暴露在终端环境中、易受反编译与攻击的安全风险。

为保护核心知识产权与APP整体安全，需采用移动应用加固技术，然而在实际评估后，常规加固手段无法满足其防护强度与适配需求，需由专业团队提供定制化解决方案。

一项目实施

梆梆安全在全面分析该客户的安全需求与实施限制后，通过多轮技术研讨与测试验证，最终为其量身打造一套完整的移动应用加固方案，覆盖Android、iOS、鸿蒙及IoT等各类终端设备。

同时，结合该客户内部管理制度与流程，梆梆安全针对性开发了多项业务接口，实现与客户内部系统的对接，从而在技术层面与管理流程上形成双重防护机制，全面提升应用安全水平。

二项目价值

该定制化加固方案切实帮助客户提升了安全防护能力，为其业务拓展与市场竞争力构建了可靠的技术保障。

（一）实现loT设备加固

方案弥补了该客户在IoT设备端核心算法防护的空白，有效抵御反编译、二次打包、内存注入、动态调试及数据窃取等多类安全威胁，切实保护企业核心知识产权。

（二）全渠道协同防护

方案支持在多渠道部署安全防护策略，减少了企业在安全产品选型与测试方面的投入，并通过体系化联动机制，增强了整体安全防护能力。

（三）安全防护价值最大化

该方案充分结合客户现有安全与管理体系进行定制，在实现有效防护的同时，未对现有业务运行造成影响，实现了安全投入与防护效果的最佳匹配，提升了整体安全建设效益。梆梆安全深耕互联网与物联网安全领域，基于持续的攻防对抗研究与实践积累，致力为各行业客户构建覆盖移动应用、智能终端及业务场景的全链条安全防护体系，助力企业在数字化转型中建立稳固可信的安全基座。未来，我们将持续聚焦移动业务安全前沿，紧密围绕客户实际业务需求，以专业化、体系化的安全能力，护航客户核心数字资产，赋能企业在复杂环境中实现安全、可持续的发展与创新。

Applications continue to ship with known weaknesses even as development workflows speed up. A new Datadog State of DevSecOps 2026 report examines how dependency management and pipeline practices are influencing exposure across cloud native environments. Across the environments studied, 87% of organizations run at least one exploitable vulnerability in production services, affecting 40% of those services. This condition points to a persistent accumulation of security debt inside deployed software stacks. Dependency lag continues to grow … More →

The post Your dependencies are 278 days out of date and your pipelines aren’t protected appeared first on Help Net Security.

Application security backlogs keep expanding across large development portfolios. Veracode’s 2026 State of Software Security Report puts numbers behind a familiar operational pattern, fixes lag discovery, and older weaknesses stay open across release cycles. 2026 findings against the 2025 baseline (Source: Veracode) The analysis spans 1.6 million unique applications that underwent static analysis, dynamic analysis, software composition analysis, and manual penetration testing through Veracode’s platform. The scope covers commercial software suppliers, outsourcers, and open source … More →

The post Security debt is becoming a governance issue for CISOs appeared first on Help Net Security.

You must login to view this content