Aggregator

2025年9月17日，由湖北省通信管理局指导、湖北省互联网协会主办的“湖北省移动互联网应用程序安全与合规主题交流会”在武汉成功举办。本次活动旨在进一步提升湖北省网络与数据安全保护水平，切实做好移动互联网应用程序管理工作，促进互联网行业规范健康发展。作为支持单位，梆梆安全受邀出席本次活动，与行业专家共同分享了APP用户权益保护的实践经验，并重点剖析了当前面临的四大典型安全场景与常见问题。

随着移动互联网的快速发展，APP在提供便捷服务的同时，也频繁暴露出违规收集用户信息、过度索权、欺骗误导等问题，严重侵害用户权益。会上，梆梆安全华中区负责人李泽平指出，当前APP安全合规建设已进入强监管时代，亟需以用户权益保护为核心，系统推进安全治理。

四大应用场景成治理关键

·用户账号信息管理

该场景覆盖个人信息的收集、传输、处理、存储与销毁全流程。常见问题包括：在用户未同意隐私政策前就开始收集信息；注册过程中未勾选即触发验证码发送；个人信息在传输过程中使用弱加密或明文方式，导致泄露风险；API接口存在敏感数据泄露隐患；用户提出信息删除或账号注销时，操作路径不明确、与实际描述不符或根本无法完成。

·SDK管理

SDK被广泛集成以快速实现功能，但也带来严重安全隐患。典型问题包括：未在隐私政策中逐一列明第三方SDK收集个人信息的目的、方式及范围；部分SDK在静默或后台状态下擅自收集用户信息；甚至出现SDK被恶意篡改、用于非法获取用户数据的情形。

·欺骗误导用户

该场景主要表现为应用界面设计存在欺骗性交互。常见问题有：广告页面未提供跳过或关闭按钮，用户点击任意区域均会触发跳转；广告播放期间无法中断或退出，强制用户观看完毕才能继续使用应用。

·强制定向推送

该类场景中，App在未明确告知用户的情况下实施个性化内容推送，并且未提供关闭该功能的选项。常见情形包括：应用内标明存在“推荐”或“定向推送”功能，但未在隐私政策中说明推送机制，也未向用户提供相应控制权限。

用户权益保护建设思路

在移动应用生态持续规范化、监管要求不断强化的背景下，构建一套科学、系统且可落地执行的用户权益保护体系，已成为企业赢得用户信任、保障可持续发展的关键。梆梆安全凭借丰富的一线合规实战经验，提出用户权益保护建设思路，助力企业构建以用户权益为核心的安全合规体系，从技术、管理、流程等多个层面系统推进，全面覆盖合规策略制定、风险识别与整改、开发流程嵌入等关键环节，切实助力企业实现安全、可信、合规的经营目标。

1. 建设全面覆盖的个人信息保护策略体系是根基。企业应从制度体系顶层设计入手，建立涵盖个人信息收集、传输、存储、使用、出境、共享直至销毁的全生命周期管理机制。确保每一个环节都有章可循、有据可查，实现从源头上防范数据滥用和泄露风险。

2.深度开展用户权益保护体系评估至关重要。通过专业的个人信息检测、隐私政策合规分析、APP业务功能与第三方交互行为梳理，企业可系统识别当前实践与法律法规及标准要求之间的差距，并针对性实施合规问题整改，形成“评估—发现—修复—验证”的闭环管理机制。

3.合规必须融入开发和运营的全流程。梆梆安全建议企业不仅应开展合规政策培训和核心观念宣贯，更需将“合规始于设计”的理念深度嵌入产品开发各阶段，使其与安全管理并重，确保每一项功能上线前都经历合规审视，从根本上减少违规隐患。

APP运营者须将用户权益置于首位，这既是对监管政策的积极响应，更是赢得用户长期信任、构筑企业核心竞争力的根本保障。梆梆安全始终秉承“稳如泰山，值得托付”的服务理念，依托成熟的合规解决方案与深厚的行业实践经验，与广大合作伙伴携手共进，共同推动移动互联网行业迈向更加健康、规范、可持续的未来。

Cybersecurity researchers at Netcraft have uncovered two sophisticated phishing campaigns linked to the Lucid and Lighthouse Phishing-as-a-Service (PhaaS) platforms, revealing a massive operation that has deployed over 17,500 phishing domains targeting 316 brands across 74 countries. This discovery highlights the growing threat of commercialized cybercrime infrastructure that enables low-skilled attackers to conduct sophisticated phishing operations […]

The post Massive Lucid PhaaS Campaign: 17,500 Phishing Domains Mimic 316 Global Brands appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

You must login to view this content

The NIST standards show that with one year of progress behind us, there are five years of opportunity ahead.

The post Why federal IT leaders must act now to deliver NIST’s post-quantum cryptography transition appeared first on CyberScoop.

You must login to view this content

A previously unseen botnet campaign emerged in late November, using a novel combination of DNS misconfiguration and hijacked networking devices to propel a global malspam operation. Initial reports surfaced when dozens of organizations received what appeared to be legitimate freight invoices, each containing a ZIP archive with a malicious JavaScript payload. Upon execution, the script […]

The post New Botnet Leverages DNS Misconfiguration to Launch Massive Cyber Attack appeared first on Cyber Security News.