Aggregator

A Chinese hacker collective has unleashed a nascent wave of cyber offensives against telecommunications conglomerates across South America.

The post The Silent Signal: How China’s “UAT-9244” is Dismantling South American Telecom with a New Malware Triad appeared first on Penetration Testing Tools.

嘶吼安全产业研究院现已同步启动《2026网络安全产业图谱》与《2026AI+网络安全产业生态图谱》两大调研，两项调研独立开展、填报信息不同，诚邀各企业精准参与，切勿混淆！

调研一：《2026网络安全产业图谱》

立足2026年 “促进发展、强化安全” 发展型安全观，贴合AI与安全融合、量子安全提速、供应链安全闭环等新趋势，优化重构产业链，新增后量子密码、大模型防火墙等新兴领域，精准收录优质企业，推出热门领域Top10厂商展示。

《2026网络安全产业图谱》调研表获取方式：关注“嘶吼专业版”公众号，回复“2026图谱调研”获取。 

·征集时间：2026年3月2日—3月20日（24:00前）

·提交要求：填写完整调研表+务必在附件中添加【AI格式】公司logo，发送至邮箱[email protected]，并抄送[email protected]

·填报规范：严格按表格说明填写，不修改表格结构，信息真实严谨，逾期将不予收录

调研二、《2026AI+网络安全产业生态图谱》

聚焦AI与安全深度融合实践，梳理两大产业全链条融合路径，构建产业资源池，实现双向赋能可视化化、供需精准匹配、生态资源整合，为行业提供实用参考。

《2026AI+网络安全产业生态图谱》调研表获取方式：关注“嘶吼专业版”公众号，回复“2026AI+图谱调研”获取。

·征集时间：2026年3月5日—3月30日（ 24:00前）

·提交要求：填写完整调研表+务必在附件中添加【AI格式】公司logo，发送至邮箱 [email protected]，并抄送[email protected]

·填报规范：请严格按表格说明填写，不修改表格结构，保证信息真实严谨，逾期将不予收录

统一郑重声明：

1.所有调研数据严格管控，绝不泄露企业敏感信息，仅用于对应图谱编制；

2.调研表仅为资料收集工具，最终图谱发布以研究院官方版本为准。

两项调研独立进行，请务必区分关键词领取对应调研表，按时准确填报！感谢各企业支持，携手共筑网络安全产业生态！

In 2025, malefactors aggressively weaponized zero-day vulnerabilities, although the staggering apex established in preceding years remained unbreached. The

The post Zero-Day Zenith: Why 2025 Became the Year of the Enterprise Appliance Breach appeared first on Penetration Testing Tools.

In a move that bucks the entire industry trend, TikTok has confirmed it will not implement end-to-end encryption (E2EE) for direct messages on its platform — arguing that E2EE would make users less safe. We break down what’s really going on: the child safety argument, the privacy counterargument, the geopolitical questions surrounding ByteDance, and what […]

The post TikTok Says No to End-to-End Encryption: Here’s Why That’s a Big Deal appeared first on Shared Security Podcast.

The post TikTok Says No to End-to-End Encryption: Here’s Why That’s a Big Deal appeared first on Security Boulevard.

近日，按照公安部发布的2026年第1号《中华人民共和国公安部公共安全行业标准公告》，由公安部信息系统安全标准化技术委员会归口的8项公共安全行业标准正式发布。标准具体内容如下：

1、GA/T 2380-2026《信息安全技术 网络安全等级保护数据安全基本要求》

该标准在GB/T 22239-2019的基础上，规定了第一级到第四级等级保护对象的数据安全保护基本要求，适用于指导网络运营者实现数据安全保护，安全建设方和监督管理机构参照使用。

2、GA/T 2381-2026《信息安全技术 网络安全等级保护数据安全测评机构能力要求》

该标准规定了网络安全等级保护数据安全测评机构能力要求，适用于网络安全等级保护测评机构数据安全测评能力建设、测评能力评价和规范化管理，主管部门对网络安全等级保护测评机构数据安全测评活动的监督管理参照使用。

3、GA/T 2382-2026《信息安全技术 容器安全监测产品安全技术要求》

该标准规定了容器安全监测产品的安全功能要求、自身安全要求和安全保障要求，适用于容器安全监测产品的设计、开发和检测。

4、GA/T 2383-2026《信息安全技术 DNS安全监测防御产品安全技术要求》

该标准规定了DNS安全监测防御产品的安全功能要求、自身安全要求、安全保障要求及等级划分要求，适用于DNS安全监测防御产品的设计、开发和检测。

5、GA/T 2384-2026《信息安全技术 软件源代码安全缺陷检测产品技术要求》

该标准规定了软件源代码安全缺陷检测产品的安全功能要求和安全保障要求，适用于软件源代码安全缺陷检测产品的设计、开发和检测。

6、GA/T 2385-2026《信息安全技术 工业控制系统主机白名单产品安全技术要求》

该标准规定了工业控制系统主机白名单产品的安全功能要求、自身安全要求和安全保障要求，适用于工业控制系统主机白名单产品的设计、开发和检测。

7、GA/T 2386.1-2026《互联网信息服务安全检查工具技术要求 第1部分：通用要求》

该标准规定了互联网信息服务安全检查工具通用的功能要求、自身安全要求和性能要求，适用于公安机关网安部门进行互联网信息服务安全检查时所装备的通用安全检查工具的设计和开发，也可为专用安全检查工具的设计和开发提供参考。

8、GA/T 2386.2-2026《互联网信息服务安全检查工具技术要求 第2部分：互联网数据中心安全检查》

该标准规定了互联网信息服务安全检查工具中互联网数据中心安全检查工具的功能要求、自身安全要求和性能要求，适用于公安机关网安部门进行互联网信息服务安全检查时所装备的互联网数据中心安全检查工具的设计和开发。

文章来源自：公安信安标委

A new open-source edge AI system called π RuView is turning ordinary WiFi infrastructure into a through-wall human-sensing platform detecting body pose, vital signs, and movement patterns without a single camera, raising urgent security and surveillance concerns. Researchers and developers have long theorized that ambient radio signals could be weaponized for passive surveillance. That theory […]

The post WiFi Signals Reveal Human Activities Through Walls by Mapping Body Keypoints appeared first on Cyber Security News.

行业实践

某交通物流集团旗下信息化子公司，全面负责集团IT基础设施与大数据平台的规划与运营。其技术中台整合了移动应用的开发、构建发布及运营能力，旨在为Android、iOS及鸿蒙等多端应用提供统一技术栈支撑。

随着业务移动化转型加速，多端应用面临的安全风险日益突出。梆梆安全为其打造了深度耦合DevOps流程的移动应用安全解决方案，核心包含安全加固与安全检测两大能力。通过在开发测试阶段引入自动化工具，实现安全能力“左移”，在保障应用高效迭代的同时，建立起覆盖多端的标准化安全开发体系，为业务安全上线与稳定运行筑牢防线。

作为集团信息化建设的核心力量，该客户承载着集团及众多子公司的业务系统建设。随着移动互联网的深入，移动应用因其便捷性，已成为业务拓展和服务触达用户的主要渠道，承载了从传统邮务到快递物流等多元业务。

然而，业务移动化在提升效率的同时，也将安全风险暴露在更复杂的网络环境中。相比于成熟的Web安全防护，移动应用面临逆向破解、数据篡改、二次打包等更具针对性的攻击。如何在快速迭代的开发流程中，全面识别并提前化解这些风险，确保应用在上线前具备足够的安全性，成为客户在推进数字化转型时必须解决的核心问题。

一 . 项目实施

为应对挑战，客户在其技术中台的移动应用服务中心引入了梆梆安全的移动应用安全能力，旨在基于DevOps流程构建一套云端自动化安全体系。该体系无缝嵌入应用的开发、测试、构建、发布、运营全生命周期。

项目主要部署了以下两大核心平台：

移动应用安全加固平台（多端适配）

面向开发与管理人员，支持上传Android、iOS、鸿蒙及H5应用部署包。该平台对应用代码与资源进行深度保护，有效抵御逆向工程、代码篡改、动态调试等攻击，为应用穿上“防护铠甲”。

应用安全测评平台（全类型覆盖）

同样面向开发与管理人员，支持对Android、iOS、鸿蒙、SDK及H5应用进行自动化安全扫描。平台内置丰富的漏洞检测规则，可全面评估应用安全性，并生成详细的检测报告与整改建议，为安全优化提供明确指引。

二 . 项目价值

1. 构建全面覆盖、精准落地的安全开发标准

应用安全测评平台基于海量实战经验，将繁杂的安全规范转化为可执行的自动化检测点。帮助客户将抽象的安全基线，精准映射到Android、iOS、鸿蒙等不同平台的具体技术实现上，确保了安全标准不仅能“建起来”，更能“落下去”。安全检测报告的整改建议逐步沉淀为企业内部的安全知识库，持续赋能开发团队。

2. 完善DevOps流程，实现安全与效率的平衡

方案将安全检测与加固工具无缝集成到现有的DevOps流水线中，实现了应用构建后的自动化安全“体检”与“防护”。这使得安全问题能在发布前被及时发现和修复，避免了上线后“亡羊补牢”的高昂成本。自动化的流程显著提升了迭代效率，让安全不再成为快速发布的瓶颈。

3. 实现安全工具的系统化、一体化管理

安全检测与加固平台完美融入了客户业务中台体系。通过与统一身份管理平台对接，开发人员可单点登录，按需调用所需的安全工具。一体化解决方案打破了安全工具孤岛，实现了资源的集中管控与使用的便捷高效，为集团移动应用安全保护提供了系统化的管理抓手。

梆梆安全始终深耕交通行业安全前沿，精准把握多端融合、高效迭代场景下的安全痛点。凭借在移动安全领域的深厚技术积淀，已为多家头部企业构建覆盖开发、测试、发布全生命周期的一体化安全防护体系，实现安全能力与业务逻辑的深度融合。未来，梆梆安全将持续迭代产品与服务，以专业安全能力赋能交通物流行业数字化转型，筑牢可信可控的数字安全屏障，赋能行业在复杂网络环境中稳健前行。

行业实践

某运营商专业子公司作为集团面向互联网领域的核心布局，专注于打造多元化的个人及企业级互联网产品，并构建了互联网计费、统一认证、大数据等关键能力平台。为全面提升计费SDK业务的安全水位，梆梆安全为其提供了覆盖事前、事中、事后的全生命周期安全解决方案：通过安全基线评估与代码修复，从源头消除应用漏洞；结合应用加固、渗透测试与安全监测，辅以7*24小时应急响应，构建动态防御体系；基于多维度数据分析优化风控规则，为信控策略提供精准数据支撑，实现从被动防御到主动溯源的能力升级。

针对当前互联网的移动支付环境日趋恶劣，计费过程中各环节面临的主要问题包括用户终端设备安全、用户身份验证识别、用户交易劫持/篡改、代码缺陷暴露、各种暗扣代扣及业务管理等风险，某运营商专业子公司希望通过加强对计费SDK业务的安全管控，全面提升计费业务的安全防护能力。

一 . 项目实施

梆梆安全紧密围绕客户计费业务特点，协助其计费安全团队为计费应用系统提供覆盖全流程的安全支撑服务。针对计费业务的核心应用场景，构建了事前准备、事中控制、事后溯源的整体安全解决方案，全面提升计费业务系统的安全防护能力，保障其稳定、健康发展。

事前阶段

严格遵循安全基线，对SDK/APP开展上线前安全评估，精准定位风险漏洞并提供代码修复示例，从源头保障应用安全上线。

事中阶段

综合运用应用安全加固、计费业务流程渗透测试、持续安全监测等技术手段，并配套安全咨询、日常保障及应急响应服务，构建动态防御能力。

事后阶段

基于设备、用户、IP等多维度数据进行深度分析，优化风险识别规则，加强计费安全保障；同时，通过对话费扣费请求的安全监控数据挖掘，为信控管控策略提供精准数据支撑，减少60%的分析工作量。

图：计费业务安全建设思路

二 . 项目价值

1. 阻断攻击，保障收益：方案上线3个月内，成功阻断超83.6万次异常攻击及暗扣、代扣等恶意行为，有力保障了核心计费业务的安全运营，稳固了关键收入来源。

2. 守护用户，降低投诉：切实减少了用户因恶意扣费、隐私泄露导致的经济损失与权益侵害，有效降低了用户投诉率，维护了用户信任。

3. 合规经营，提升声誉：全面满足国家及集团监管要求，助力企业在合规基础上稳健发展，有效维护了品牌声誉与市场形象。

梆梆安全深耕运营商行业移动安全领域，将专业安全能力贯穿于通信业务数字化转型的全生命周期。通过持续迭代的产品与服务体系，构建了覆盖业务全流程的移动安全防护矩阵，为业务平台的稳健运行提供坚实保障，切实守护亿万用户的通信安全与数字权益，助力构建安全、可信的通信环境。

直播时间： 3月11日（周三）15：00

立即预约：领试用福利+抽千元好礼

直播亮点

防护实操：反钓鱼+防泄密+堵漏洞

高校系统安全+网关实践经验分享

北工大工程师现场支招，专家直播间面对面交流，立即预约锁定名额！

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（1207-1220）

·最新监管动态

监管通报动态

·监管支撑汇总

梆梆安全监管支撑数据

国家监管数据分析

·漏洞风险分析

各漏洞类型占比分析

存在漏洞的APP各类型占比分析 

01 最新监管动态

1. 监管通报动态

12月12日，安徽通管局依据相关法律法规，近期对省内APP进行了拨测检查。检测发现22款APP存在违法违规收集使用个人信息的问题，已对上述企业下达了责令改正通知书，要求限期完成整改工作。逾期不整改的，安徽通管局将依法依规组织开展相关处置工作。

12月17日，河北通管局依据相关法律法规的要求，对APP违法违规收集使用个人信息等问题开展治理，经抽查，共发现12款APP存在侵害用户权益行为，河北通管局予以通报。

12月17日，上海通管局依据相关法律法规的要求，对APP（SDK）违法违规收集使用个人信息等问题开展治理，11月向社会公示了一批存在侵害用户权益行为的APP（SDK），经核查复检，尚有38款APP（SDK）未按照要求落实整改，上海通管局现对上述APP（SDK）采取下架处理。

12月19日，广东通管局依据相关法律法规的要求，持续开展移动应用程序专项治理工作，截至目前，尚有5款APP未完成整改，广东通管局现予以通报。

02 监管支撑汇总

1. 梆梆安全监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及TOP3问题数据两方面来说明。

1) 问题行业TOP3：

网上购物类

实用工具类

网络游戏类

2) 隐私合规问题TOP3：

TOP1：164-1：违规收集个人信息

TOP2：认定方法3-8：未向用户提供撤回同意收集个人信息的途径、方式

TOP3：26号文-9：未建立个人信息收集清单

2. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

问题分类

问题数量

164-1 违规收集个人信息

14

164-5 APP强制、频繁、过度索取权限

14

164-2 超范围收集个人信息

3

总计

31

针对国家近两周监管通报数据，依据APP类型，统计出现通报的APP数量如下：

APP类型

APP数量

实用工具类

5

网上购物类

4

学习教育类

3

本地生活类

2

短视频类

2

浏览器类

2

网络游戏类

2

地图导航类

1

网络社区类

1

新闻资讯类

1

用车服务类

1

邮件快件寄递类

1

总计

25

03 漏洞风险分析

从全国的Android APP中随机抽取了2,046款进行漏洞检测发现，存在中高危漏洞威胁的APP为1,620个，即79.18%以上的APP存在中高危漏洞风险。而这1,620款漏洞应用中，有高危漏洞的应用共1,196款，占比73.83%，有中危漏洞的应用共1,581款，占比97.59%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的APP占比如下：

各漏洞类型占比分析

针对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示：

存在漏洞的APP各类型占比分析

从APP类型来看，实用工具类APP存在漏洞风险最多,占漏洞APP总量的19.82%，其次为教育学习类APP，占比10.37%，其他类APP位居第三，占比10.02%，漏洞数量排名前十的类型如下图所示：

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经公安部计算机信息系统安全产品质量监督检验中心检测，54款移动应用存在违法违规收集使用个人信息情况，具体通报如下：

1、未公开收集使用规则。涉及29款移动应用如下：

《四象好停车》（微信小程序）、《驿停车》（支付宝小程序）、《ETCP停车》（支付宝小程序）、《德停车》（微信小程序）、《停车场商家》（微信小程序）、《领停停车》（支付宝小程序）、《博停车》（支付宝小程序）、《龙光服务停车》（微信小程序）、《物联停车》（微信小程序）、《停无忧智慧停车》（微信小程序）、《小桩停车》（支付宝小程序）、《小兵停车》（微信小程序）、《智行停车》（微信小程序）、《飞鸟停车》（支付宝小程序）、《CF好停车》（微信小程序）、《澄捷停车》（微信小程序）、《江南爱停车》（微信小程序）、《泰州好停车》（微信小程序）、《停智慧出行服务停车加油找车位》（微信小程序）、《长安智能停车》（微信小程序）、《汇泊停车》（微信小程序）、《上房停车》（微信小程序）、《嘉亭荟城市生活广场停车场》（微信小程序）、《速宾云停车》（微信小程序）、《成都停车》（微信小程序）、《立方停车》（支付宝小程序）、《息牛停车》（支付宝小程序）、《喜鹊云智慧停车》（微信小程序）、《亿集汇停车》（微信小程序）。

2、未逐一列出收集、使用个人信息的目的、方式、范围。涉及5款移动应用如下：

《企拓客》（版本2.7.12，应用宝）、《想家停车》（微信小程序）、《小猫爱车》（版本6.0.35，应用宝）、《PP停车》（版本4.3.3，小米应用商店）、《慧停车》（版本8.0.10，vivo应用商店）。

3、在申请打开可收集个人信息的权限时，未同步告知用户其目的。涉及6款移动应用如下：

《小艾停车助手》（支付宝小程序）、《速停车》（微信小程序）、《停车百事通》（版本5.5.5，应用宝）、《小桩停车》（支付宝小程序）、《艾润停车王》（支付宝小程序）、《行呗停车》（支付宝小程序）。

4、征得用户同意前就开始收集个人信息。涉及3款移动应用如下：

《停车场云助手》（版本2.9.16，vivo应用商店）、《停车百事通》（版本5.5.5，应用宝）、《小强停车》（微信小程序）。

5、实际收集的个人信息超出用户授权范围。涉及4款移动应用如下：

《企拓客》（版本2.7.12，应用宝）、《想家停车》（微信小程序）、《PP停车》（版本4.3.3，小米应用商店）、《慧停车》（版本8.0.10，vivo应用商店）。

6、配置文件中声明的可收集个人信息的权限超出相关功能的必要范围。涉及1款移动应用如下：

《专利宝》（版本4.0.9，华为应用市场）。

7、实际收集的个人信息超出相关功能的必要范围。涉及3款移动应用如下：

《企拓客》（版本2.7.12，应用宝）、《英语天天练》（版本1.32.01，应用宝）、《任马停》（版本3.6.9，豌豆荚）。

8、提前要求用户打开非当前功能所需的可收集个人信息权限。涉及7款移动应用如下：

《速停车》（微信小程序）、《停车百事通》（版本5.5.5，应用宝）、《天眼》（版本1.151，OPPO软件商店）、《捷安泊智慧停车》（微信小程序）、《汇泊停车》（微信小程序）、《迈泊智慧停车》（微信小程序）、《任意停车》（微信小程序）。

9、未向用户提供个人信息相关投诉渠道或功能。涉及4款移动应用如下：

《安卓翻译官》（版本1.1.6，vivo应用商店）、《德停车》（微信小程序）、《博停车》（支付宝小程序）、《全球翻译通》（版本3.1.1，OPPO软件商店）。

10、未向用户提供更正或补充其个人信息的具体途径。涉及8款移动应用如下：

《安卓翻译官》（版本1.1.6，vivo应用商店）、《博停车》（支付宝小程序）、《停无忧智慧停车》（微信小程序）、《文字扫描识别精灵》（版本3.4，vivo应用商店）、《飞鸟停车》（支付宝小程序）、《慧停车》（版本8.0.10，vivo应用商店）、《成都停车》（微信小程序）、《小强停车》（微信小程序）。

11、未向用户提供删除其个人信息的具体途径。涉及7款移动应用如下：

《博停车》（支付宝小程序）、《停无忧智慧停车》（微信小程序）、《标标达》（版本4.1.2，OPPO软件商店）、《慧停车》（版本8.0.10，vivo应用商店）、《成都停车》（微信小程序）、《行呗停车》（支付宝小程序）、《小强停车》（微信小程序）。

12、未向用户提供注销账户的途径和方式。涉及8款移动应用如下：

《博停车》（支付宝小程序）、《小兵停车》（微信小程序）、《飞鸟停车》（支付宝小程序）、《慧停车》（版本8.0.10，vivo应用商店）、《成都停车》（微信小程序）、《立方停车》（支付宝小程序）、《小强停车》（微信小程序）、《喜鹊云智慧停车》（微信小程序）。

13、注销账户的流程中设置不合理的条件或提出额外要求。涉及2款移动应用如下：

《惠泊车》（版本3.5.0，应用宝）、《标标达》（版本4.1.2，OPPO软件商店）。

14、广告存在误导、欺骗用户行为。涉及1款移动应用如下：

《北京停车服务》（微信小程序）。

上期通报的公安部计算机信息系统安全产品质量监督检验中心检测发现的40款违法违规移动应用，经复测仍有9款存在问题，相关移动应用分发平台已予以下架。

（注：文中所列移动应用检测时间为2025年11月7日至2025年12月3日）

来源：国家网络安全通报中心

根据通报内容，被通报的移动应用主要集中在停车服务类、企业服务类、翻译工具类应用。其中，停车相关小程序和APP数量最多，覆盖多个地区与运营主体，反映出在日常工具和生活服务类应用中，个人信息收集使用不规范问题较为突出。

通报中归纳的问题类型主要包括以下几类：一是未公开或未明确告知收集使用规则；二是权限申请与功能不匹配或超出必要范围；三是未履行告知同意义务，提前或超范围收集信息；四是未提供用户权利行使渠道，如投诉、更正、删除、注销等功能缺失或设置障碍；五是存在误导性广告行为。这些问题集中体现了部分应用在合规意识、流程设计和用户权益保障方面的薄弱环节。

此次通报进一步警示各应用运营企业，须将个人信息保护切实纳入运营管理的核心环节，严格遵循《网络安全法》《个人信息保护法》等规定，完善内部合规体系。忽视用户隐私权益，不仅会招致监管处置，更将侵蚀企业声誉与用户信任，最终制约自身发展。合规已成为企业稳定经营与持续成长的必要基础。

梆梆安全移动应用合规检测框架

梆梆安全依托十余年深耕移动安全领域的技术沉淀与实践经验，系统性搭建了专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业高效构建合规防线。