Aggregator

近日，由国家网络与信息安全信息通报中心指导，四川省网络与信息安全信息通报中心、成都市网络与信息安全信息通报中心、成都天府新区投资集团有限公司主办，公安部第三研究所、上海海盾安全技术培训中心承办的第六届“天府杯”国际网络空间安全大赛在成都顺利闭幕。

其中，360数字安全集团旗下漏洞研究院以单一独立战队身份参赛，凭借扎实的漏洞挖掘技术、前沿的AI赋能能力与丰富的实战攻防经验，在激烈比拼中一举夺魁，荣获独立战队积分榜第一名，并凭借其漏洞发现的高质量与高价值，获评“最佳漏洞发现团队”。此次加冕，是360在创下首届至第三届“天府杯”三连冠历史纪录后，于顶级赛场上的实力回归。

本届大赛紧扣技术引领主线，在全面强化漏洞防护能力的基础上，致力于构建网络安全产业生态与创新高地，通过“以赛促产、以赛聚才”，有力推动数字安全产业高质量发展。另外，在技术演进与竞赛形态方面， AI已从辅助工具跃升为漏洞挖掘的核心引擎，赛事在很大程度上已成为各战队AI能力与协同水平的直接较量。

360漏洞研究院院长龚广表示，本届比赛中被成功攻克的漏洞中，360有高达50%依赖于AI的辅助发现与利用。其通过自研的漏洞挖掘智能体，显著提升了模糊测试（Fuzzing）覆盖率与代码审计效率，不仅能够从海量代码中快速定位潜在风险，更能协助构建复杂的攻击利用链。此次“天府杯”的实战检验表明，360在“AI+安全”领域的战略布局，已实现从技术概念到实战成效的全面跨越，正在重新定义漏洞挖掘的生产流程。

随着AI技术的高速发展，漏洞利用门槛持续降低，安全威胁正以前所未有的速度从数字空间向物理世界蔓延。在此背景下，360于赛场上的每一次技术攻坚，本质上都是对数字社会基础设施的前瞻性防护演练。 

此次问鼎第六届“天府杯”独立战队榜首，不仅是对其行业领先安全实力的再次确认，更是对未来防御体系的一次关键预演。未来，360将持续加大核心技术投入，深入推动数字安全与人工智能的融合创新，以更高效的漏洞挖掘与更可靠的防护能力，为千行百业的数字化转型筑牢安全屏障。

关于侵害用户权益行为的APP（SDK）通报

（2025年第8批，总第53批）

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期，经组织第三方检测机构进行抽查，共发现24款APP及SDK存在侵害用户权益行为（详见附件），现予以通报。

来源：工信微报

工信部最新通报24款违规APP及SDK，为移动应用合规运营再次敲响警钟。此次通报的应用主要涉及教育学习、健康生活、社交娱乐、工具服务及广告SDK五大类别。这些应用因其功能常需处理用户敏感信息，也成为违规行为的“高发区”。

通报中揭示的问题可归纳为四类：一是隐私政策不透明，未明示个人信息收集清单或未公示SDK信息；二是权限索取行为不规范，存在强制、频繁、过度索取权限的情况；三是数据收集超出合理范围，包括违规收集、超范围收集，甚至欺骗误导用户提供信息；四是用户交互体验不良，例如信息窗口恶意跳转等。

梆梆安全依托十余年深耕移动安全领域的技术沉淀与实践经验，系统性搭建了专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业高效构建合规防线。

梆梆安全移动应用合规检测框架

在移动应用程序敏捷开发环境下，仅依赖自动化工具或纯人工检测均难以有效应对合规风险。梆梆安全提供采用“工具检测+人工验证”相结合的方式，在保障检测准确性的同时提升效率，切实满足快速迭代中的合规要求。

对运营者而言，必须将合规置于产品发展的核心。建议从建立内部合规机制入手，系统贯彻“最小必要”原则，在信息收集前清晰完整告知用户，规范权限调用流程，严格审核并公示嵌入的第三方SDK，持续优化交互界面，切实保障用户知情权与选择权。唯有真正落实用户权益保护，才能在监管趋严的环境中稳健发展，赢得用户与市场的持久信任。

A sophisticated phishing campaign targeting Canadian citizens has emerged, using fake traffic ticket payment portals to steal personal and financial information. The attackers employ SEO poisoning techniques to manipulate search engine results, ensuring their fraudulent websites appear legitimate when users search for provincial traffic ticket payment options. These malicious portals convincingly impersonate official government websites […]

The post Beware of Fake Traffic Ticket Portals that Harvest Your PII and Credit Card Data appeared first on Cyber Security News.

行业实践

某省医疗器械质量监督检验研究院是国家药监局十大医疗器械检验检测中心之一，主要承担医疗器械新产品的注册检验、国家监督抽检、企业委托检验，并为企业和监管部门提供技术咨询与标准研究支持。其出具的检测报告是企业获取产品市场准入许可的重要依据。随着移动互联网技术在医疗器械领域的广泛应用，移动应用（如APP、小程序、物联网应用等）的安全与合规问题日益突出，已成为医疗器械网络安全的新焦点。该院在网络医疗器械安全检测方面具备显著优势，但在移动应用安全检测领域仍存在能力短板，亟需建立系统化的检测能力，以应对不断增长的安全风险与监管要求。

该院制定了以下战略目标：

补充能力短板：建立符合国家及行业标准的医疗器械移动应用（涵盖Android/iOS/小程序/鸿蒙NEXT/物联网应用等）批量化安全检测能力。

拓展服务范围：将移动应用安全检测纳入其核心服务，满足企业委托需求，并探索应用加固等增值服务。

提升营收能力：通过新增的安全检测与加固服务，创造新的业务增长点。

引领标准制定：为后续参与制定医疗器械移动应用安全相关的行业/国家标准积累实践经验和技术基础。

为实现上述目标，该院决定引入专业力量，经过评估，选择梆梆安全作为战略合作伙伴，为其提供移动应用安全检测与加固的核心技术平台及服务支持。

一 项目实施

梆梆安全帮助该院建立了全面覆盖主流移动平台Android应用、iOS应用、小程序、鸿蒙NEXT应用、物联网应用的移动应用安全能力体系。

自动化测评与加固平台

通过应用安全测评平台提供自动化、标准化的安全漏洞扫描与风险评估，严格对标权威漏洞库和行业规范；通过应用加固服务平台，为高风险应用提供专业的安全加固保护服务。

深度检测与闭环管理

对委托单位提交的移动应用（固件）进行深度安全检测（已完成超过40个固件、20个Android应用的测评），生成详细的安全测评报告，明确风险等级、位置、危害及修复建议。该院通过平台对整改应用进行复查，形成闭环管理。

服务落地与拓展

针对测评中发现的高风险应用，该院利用加固平台提供加固服务（已完成20个Android应用）。未来计划将测评与加固服务扩展至iOS、鸿蒙NEXT、物联网应用、小程序、H5等更多类型和来源的应用。

二 项目价值

本项目的成功实施，为该院及行业带来了多维度的重要价值：

（一）提升行业安全水位

为医疗器械生产企业提供了专业、权威的移动应用安全检测通道，系统性帮助发现和修复漏洞，增强APP防护能力，保障患者数据与设备安全。

（二）打造行业标杆

该项目是全国省级医疗器械检测机构中率先系统化开展移动应用安全检测的标杆，其建设模式、技术路径和运营经验为全国同行提供了宝贵的参考范本。

（三）创造经济效益

通过新增的安全检测与加固服务，该院成功开辟了新业务增长点，创造了新的营收来源，实现了社会效益与经济效益的双赢。

（四）夯实标准制定基础

基于项目积累的实践数据与经验，该院具备了牵头或深度参与制定医疗器械移动应用安全检测相关行业标准与技术规范的能力基础，对规范行业发展具有重大战略意义。

（五）增强机构综合实力

项目填补了该院在移动应用安全监管环节的能力空白，显著增强了其综合服务能力和市场竞争力，在引领行业检测方向、探索标准制定方面迈出了坚实一步。

在医疗行业加速推进数字化转型与智慧化升级的过程中，医疗器械移动应用的安全性、稳定性及合规性，直接关系到医疗数据资产保护、患者隐私安全与诊疗服务可靠性，是构建安全可信医疗生态的重要基础。梆梆安全围绕医疗行业强监管、重合规、高风险的特点，基于成熟的安全中台与深度的行业认知，为医疗器械研发、生产、检测及使用各方提供贯穿应用全生命周期的移动安全解决方案，助力医疗行业在合规可控的前提下稳步推进数字化进程，护航健康医疗数据价值安全释放。

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，69款移动应用存在违法违规收集使用个人信息情况，具体通报如下：

1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及15款移动应用如下：

《Whatscolors》（版本1.15.1，华为应用市场）、《百变主题》（版本V2.2.42.24051015，比亚迪唐预装App）、《比比客》（微信小程序）、《创金合信基金》（微信小程序）、《顶端新闻》（版本8.1.8，比亚迪市场）、《广东萨莉亚》（微信小程序）、《凯莱集团酒店预订平台》（版本1.5，vivo应用商店）、《宁波太平洋大酒店》（微信小程序）、《闪光兼职》（支付宝小程序）、《速8酒店》（微信小程序）、《淘票票》（今日头条小程序）、《天鹅到家》（微信小程序）、《天鹅到家保姆月嫂服务保洁家政》（微信小程序）、《天天兼职-青团优聘》（支付宝小程序）、《天天狼人》（版本7.20.2，华为应用市场）。

2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及39款移动应用如下：

《369出行》（版本 8.6.5.0，360手机助手）、《bluefrog蓝蛙》（微信小程序）、《PigeonSwitch》（版本2.0.8，华为应用市场）、《Whatscolors》（版本1.15.1，华为应用市场）、《爱听音乐》（版本v1.0.7 003 V6，小米应用商店）、《安然商城》（版本V1.1.5，应用宝）、《大拿物联》（版本5.9.62，小米应用商店）、《顶端新闻》（版本8.1.8，比亚迪市场）、《东海通》（版本5.2.3，华为应用市场）、《二手车之家》（版本8.77.7，应用宝）、《呷哺呷哺》（微信小程序）、《凯莱集团酒店预订平台》（版本1.5，vivo应用商店）、《库迪咖啡》（版本2.5.8，华为应用市场）、《快电》（版本v6.4.2，应用宝）、《琅阅》（版本2.6.5.3（714000），抖音应用中心）、《乐理手册》（版本v2.5.2，小米应用商店）、《龙虾游戏交易平台》（版本1.84，vivo应用商店）、《鹿客智能》（版本2.6.300，历趣市场）、《密码相册》（版本V2.0.6，百度手机助手）、《排班助手》（版本3.11.2，vivo应用商店）、《千聊》（版本V4.8.5，PP助手）、《趣演》（版本9.0.6.2，百度手机助手）、《顺易充》（版本V5.7.3，vivo应用商店）、《太极学堂》（版本v1.1.0，抖音应用中心）、《特步跑步》（版本3.6.6，搜狗下载）、《贴贴手帐》（版本3.1，搜狗下载）、《顽鹿运动》（版本v3.8.1，vivo应用商店）、《纬界极简提词器》（版本2.2.6，小米应用商店）、《文字图片制作》（版本1.9.7，百度手机助手）、《香格里拉会》（版本3.2.77，华为应用市场）、《小年糕》（版本1.24.12 217，PP助手）、《新电途》（版本2.6.13，应用宝）、《学而思启蒙》（版本4.07.05，应用宝）、《学而思亲子》（版本V2.15.0（4052），vivo应用商店）、《一起看地图》（版本V5.0.2.4，360手机助手）、《医考帮》（版本2.8.3.3，PP助手）、《永和大王》（微信小程序）、《阅站》（版本1.1.291，应用宝）、《直播魔盒》（版本V7.2.0，小米应用商店）。

3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。涉及15款移动应用如下：

《bluefrog蓝蛙》（微信小程序）、《贝乐虎儿歌》（版本5.8.5，比亚迪市场）、《测试发型》（版本8.5.0，百度手机助手）、《二手车之家》（版本8.77.7，应用宝）、《呷哺呷哺》（微信小程序）、《虎牙直播》（版本2.2.0，比亚迪市场）、《抠图换背景》（版本v3.2.1.926，华为应用市场）、《琅阅》（版本2.6.5.3（714000），抖音应用中心）、《球胜比分》（版本v3.6.1，应用汇）、《我是大东家》（版本5.3.72，PP助手）、《小年糕》（版本1.24.12 217，PP助手）、《一起看地图》（版本V5.0.2.4，360手机助手）、《永和大王》（微信小程序）、《阅站》（版本1.1.291，应用宝）、《这城有良田》（版本261.000，小米应用商店）。

4、未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限。涉及3款移动应用如下：

《国投瑞银》（版本4.1.4，vivo应用商店）、《闪光兼职》（支付宝小程序）《天天兼职-青团优聘》（支付宝小程序）。

5、未提供有效的更正、删除个人信息及注销用户账号功能；为更正、删除个人信息或注销用户账号设置不必要或不合理条件；虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内完成核查和处理。涉及8款移动应用如下：

《PigeonSwitch》（版本2.0.8，华为应用市场）、《乐理手册》（版本v2.5.2，小米应用商店）、《宁波太平洋大酒店》（微信小程序）、《我来数科》（版本7.7.0，小米应用商店）、《我是大东家》（版本5.3.72，PP助手）、《香格里拉会》（版本3.2.77，华为应用市场）、《小年糕》（版本1.24.12 217，PP助手）、《学而思启蒙》（版本4.07.05，应用宝）。

6、投诉、举报未在承诺时限内受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。涉及3款移动应用如下：

《PigeonSwitch》（版本2.0.8，华为应用市场）、《宁波太平洋大酒店》（微信小程序）、《特步跑步》（版本3.6.6，搜狗下载）。

7、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。涉及35款移动应用如下：

《369出行》（版本 8.6.5.0，360手机助手）、《bluefrog蓝蛙》（微信小程序）、《PigeonSwitch》（版本2.0.8，华为应用市场）、《Whatscolors》（版本1.15.1，华为应用市场）、《避风塘》（微信小程序）、《测试发型》（版本8.5.0，百度手机助手）、《顶端新闻》（版本8.1.8，比亚迪市场）、《虎牙直播》（版本2.2.0，比亚迪市场）、《凯莱集团酒店预订平台》（版本1.5，vivo应用商店）、《抠图换背景》（版本v3.2.1.926，华为应用市场）、《琅阅》（版本2.6.5.3（714000），抖音应用中心）、《乐理手册》（版本v2.5.2，小米应用商店）、《龙虾游戏交易平台》（版本1.84，vivo应用商店）、《密码相册》（版本V2.0.6，百度手机助手）、《宁波太平洋大酒店》（微信小程序）、《千聊》（版本V4.8.5，PP助手）、《球胜比分》（版本v3.6.1，应用汇）、《太极学堂》（版本v1.1.0，抖音应用中心）、《淘票票》（今日头条小程序）、《天鹅到家》（微信小程序）、《天鹅到家保姆月嫂服务保洁家政》（微信小程序）、《天天狼人》（版本7.20.2，华为应用市场）、《贴贴手帐》（版本3.1，搜狗下载）、《顽鹿运动》（版本v3.8.1，vivo应用商店）、《文字图片制作》（版本1.9.7，百度手机助手）、《香格里拉会》（版本3.2.77，华为应用市场）、《小肥羊桌边点餐》（微信小程序）、《新电途》（版本2.6.13，应用宝）、《学而思启蒙》（版本4.07.05，应用宝）、《学而思亲子》（版本V2.15.0（4052），vivo应用商店）、《一起看地图》（版本V5.0.2.4，360手机助手）、《医考帮》（版本2.8.3.3，PP助手）、《阅站》（版本1.1.291，应用宝）、《直播魔盒》（版本V7.2.0，小米应用商店）、《智享车生活》（版本3.7.1.4，历趣市场）。

8、通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。涉及5款移动应用如下：

《避风塘》（微信小程序）、《天鹅到家》（微信小程序）、《天鹅到家保姆月嫂服务保洁家政》（微信小程序）、《医考帮》（版本2.8.3.3，PP助手）、《阅站》（版本1.1.291，应用宝）。

9、个人信息处理者处理敏感个人信息的，未向个人告知处理敏感个人信息的必要性以及对个人权益的影响。涉及1款移动应用如下：

《宁波太平洋大酒店》（微信小程序）。

10、未采取相应的加密、去标识化等安全技术措施。涉及21款移动应用如下：

《369出行》（版本 8.6.5.0，360手机助手）、《bluefrog蓝蛙》（微信小程序）、《避风塘》（微信小程序）、《创金合信基金》（微信小程序）、《达美乐比萨》（版本3.3.40，豌豆荚）、《呷哺呷哺》（微信小程序）、《好太太智联》（版本3.5.7，历趣市场）、《虎牙直播》（版本2.2.0，比亚迪市场）、《宁波太平洋大酒店》（微信小程序）、《球胜比分》（版本v3.6.1，应用汇）、《全能扫描宝》（版本1.0.0，vivo应用商店）、《闪光兼职》（支付宝小程序）、《速8酒店》（微信小程序）、《淘票票》（今日头条小程序）、《天鹅到家》（微信小程序）、《天鹅到家保姆月嫂服务保洁家政》（微信小程序）、《天天兼职-青团优聘》（支付宝小程序）、《我要自学网》（版本1.11.4，应用宝）、《小肥羊桌边点餐》（微信小程序）、《一起看地图》（版本V5.0.2.4，360手机助手）、《智享车生活》（版本3.7.1.4，历趣市场）。

11、无隐私政策。涉及2款移动应用如下：

《机友会》（百度小程序）、《张家港房产网》（百度小程序）。

上期通报的国家计算机病毒应急处理中心检测发现的70款违法违规移动应用，经复测仍有26款存在问题，相关移动应用分发平台已予以下架。

（注：文中所列移动应用检测时间为2025年9月29日至2025年11月20日）

来源：国家网络安全通报中心

本次通报涉及的移动应用类型多样，涵盖生活服务、出行旅游、娱乐社交、教育培训、金融理财等多个领域。其中，生活服务类（如酒店预订、家政服务）和工具类（如主题美化、扫描工具）占比较高，部分知名品牌旗下小程序或独立应用亦在列。这表明，个人信息保护问题已非个别现象，而是广泛存在于与用户日常高频接触的各类服务中，尤其是那些依赖用户数据实现功能或商业运营的平台。

通报共列出11类问题，集中反映出部分运营者在合规意识与技术落实上的双重缺失，这些问题若不及时纠正，将依次引发以下三层风险，其影响由企业自身延伸至用户与社会信任：

第一，监管与法律风险。 依据《网络安全法》《个人信息保护法》，违规收集使用个人信息将面临责令整改、通报批评、罚款乃至应用下架等行政处罚，情节严重的还可能承担民事责任。随着监管力度持续加强，合规已成为企业存续的必要前提。

第二，品牌声誉与用户信任危机。 一旦企业因个人信息问题被公开通报，将直接冲击品牌形象，导致用户流失和市场信任度下降。在信息高度透明的环境下，此类负面事件极易扩散，长期损害企业公众形象与商业合作基础。

第三，用户个人信息与安全风险。 违规收集、明文传输、未授权共享等行为，极大增加了用户信息泄露的可能性。这些信息一旦被恶意利用，可能导致诈骗、隐私侵犯等安全事故，给用户带来实质损害，进而引发诉讼与舆论追责。

当前，个人信息保护已进入系统性监管阶段，合规不再仅是“选项”，而是企业可持续发展的生命线。唯有真正将用户权益置于首位，建立并落实全生命周期的个人信息保护机制，才能在法律、市场与用户三个维度筑牢安全防线。同时，用户也应增强自我保护意识，主动管理应用权限与隐私设置，共同构建更可靠的数据使用环境。

梆梆安全依托十余年深耕移动安全领域的技术沉淀与实践经验，系统性搭建了专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业高效构建合规防线。

梆梆安全移动应用合规检测框架

Teams often rely on shared document collections to track project history, decisions, and operational knowledge. To support this workflow, Microsoft introduced Agents in OneDrive, allowing users to create AI assistants built from selected files and folders. The feature allows users to group project plans, meeting notes, technical specifications, presentations, and research materials into a single agent. The assistant can then respond to questions, summarize discussions, identify recorded decisions, and extract deadlines, ownership details, and action … More →

The post Microsoft brings project-focused AI agents into OneDrive appeared first on Help Net Security.

Microsoft has released LiteBox, a project intended to function as a security-focused library OS that can serve as a secure kernel for protecting a guest kernel using virtualization hardware. LiteBox was developed in collaboration with the Linux Virtualization Based Security (LVBS) project. The goal is to isolate and protect a normal guest kernel by running security-critical functionality in a separate, hardened environment. Microsoft said LiteBox is implemented in Rust, a programming language often used in … More →

The post Microsoft launches LiteBox, a security-focused open-source library OS appeared first on Help Net Security.