Aggregator
CVE-2025-64762 | workos authkit-nextjs up to 2.11.0 cache containing sensitive information
CVE-2025-36160 | IBM Concert up to 2.0.0 HTTP Response Header exposure of sensitive system information to an unauthorized control sphere
CVE-2025-25613 | FS S3150-8T2F 8-Port Gigabit Ethernet L2+ Switch up to 2.1.x Base64 Encoding cleartext transmission
罂粟田里的隐秘空投:CIA十年秘密“种子战”曝光
直击ICCAD-Expo!纽创信安深度解析PQC IP防御之道,后量子安全新品引关注
公安部计算机信息系统安全产品质量监督检验中心检测发现40款违法违规收集使用个人信息的移动应用
公安部计算机信息系统安全产品质量监督检验中心检测发现40款违法违规收集使用个人信息的移动应用
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,40款移动应用存在违法违规收集使用个人信息情况,具体通报如下:
1、未逐一列出收集、使用个人信息的目的、方式、范围。涉及16款移动应用如下:《壹达外卖》(版本6.0.202509021,应用宝)、《眼护士》(版本3.8.34,OPPO软件商店)、《医护到家-快天使医护到家用户版》(版本2.152,应用宝)、《护士之约》(版本2.2.64,vivo应用商店)、《体检宝》(版本9.5.2,vivo应用商店)、《AQ》(版本1.0.36.8000,应用宝)、《药安食美》(版本1.1.5.3,应用宝)、《云到》(版本5.5.6,OPPO软件商店)、《快滴顺风车》(版本3.2.0,OPPO软件商店)、《妙看极速版》(版本7.8.5,OPPO软件商店)、《优e司机极速版》(版本6.30.5.0018,应用宝)、《药约約》(版本2.7.58,百度手机助手)、《体检报告助手》(版本9.6.4,应用宝)、《爱康约体检查报告》(版本8.2.7,豌豆荚)、《淘粉吧》(版本12.69.0,豌豆荚)、《高佣联盟》(版本6.4.42,豌豆荚)。
2、在申请打开可收集个人信息的权限时,未同步告知用户其目的。涉及1款移动应用如下:《掌上药店》(版本6.3.9,百度手机助手)。
3、征得用户同意前就开始收集个人信息。涉及2款移动应用如下:《返利淘联盟》(版本8.6.9,豌豆荚)、《e看牙》(版本4.37.2,豌豆荚)。
4、实际收集的个人信息超出用户授权范围。涉及16款移动应用如下:《壹达外卖》(版本6.0.202509021,应用宝)、《眼护士》(版本3.8.34,OPPO软件商店)、《医护到家-快天使医护到家用户版》(版本2.152,应用宝)、《护士之约》(版本2.2.64,vivo应用商店)、《体检宝》(版本9.5.2,vivo应用商店)、《药安食美》(版本1.1.5.3,应用宝)、《云到》(版本5.5.6,OPPO软件商店)、《快滴顺风车》(版本3.2.0,OPPO软件商店)、《妙看极速版》(版本7.8.5,OPPO软件商店)、《Party Play》(版本3.16.0,vivo应用商店)、《优e司机极速版》(版本6.30.5.0018,应用宝)、《药约約》(版本2.7.58,百度手机助手)、《体检报告助手》(版本9.6.4,应用宝)、《爱康约体检查报告》(版本8.2.7,豌豆荚)、《淘粉吧》(版本12.69.0,豌豆荚)、《高佣联盟》(版本6.4.42,豌豆荚)。
5、个人信息保护政策中描述需要收集的个人信息超出相关功能的必要范围。涉及1款移动应用如下:《药安食美》(版本1.1.5.3,应用宝)。
6、配置文件中声明的可收集个人信息的权限超出相关功能的必要范围。涉及2款移动应用如下:《手机血压血糖管理》(版本1.0.16,应用宝)、《手机测血压血糖》(版本1.0.10,应用宝)。
7、实际收集的个人信息超出相关功能的必要范围。涉及10款移动应用如下:《熊猫霸王餐》(版本1.3.6,应用宝)、《AQ》(版本1.0.36.8000,应用宝)、《小镇外卖》(版本3.1.3,华为应用市场)、《云到》(版本5.5.6,OPPO软件商店)、《果冻宝盒》(版本4.7.9,OPPO软件商店)、《淘返联盟》(版本2.7.9,小米应用商店)、《悦拜》(版本4.7.3,小米应用商店)、《返利机器人》(版本1.0.1,应用宝)、《慢慢买》(版本4.9.60,小米应用商店)、《快鸟返利》(版本2.9.10,小米应用商店)。
8、未向用户提供个人信息相关投诉渠道或功能。涉及5款移动应用如下:《赏帮赚》(版本5.2.7,豌豆荚)、《护士通》(版本3.4.5,vivo应用商店)、《花生返利》(版本1.7.6,vivo应用商店)、《血压血糖宝》(版本1.0.17,应用宝)、《掌上药店》(版本6.3.9,百度手机助手)。
9、未向用户提供更正或补充其个人信息的具体途径。涉及3款移动应用如下:《金牌护士》(版本5.1.10,华为应用市场)、《血压血糖仪》(版本1.0.9,小米应用商店)、《熊猫药药》(版本3.6.3,vivo应用商店)。
10、未向用户提供删除其个人信息的具体途径。涉及3款移动应用如下:《金牌护士》(版本5.1.10,华为应用市场)、《血压血糖仪》(版本1.0.9,小米应用商店)、《熊猫药药》(版本3.6.3,vivo应用商店)。
11、未向用户提供注销账户的途径和方式。涉及1款移动应用如下:《游戏接单》(版本2.0.4,应用宝)。
12、注销账户的流程中设置不合理的条件或提出额外要求。涉及1款移动应用如下:《护士通》(版本3.4.5,vivo应用商店)。
13、未提供退出或关闭个性化展示模式的选项。涉及1款移动应用如下:《Party Play》(版本3.16.0,vivo应用商店)。
14、广告存在误导、欺骗用户行为。涉及2款移动应用如下:《血压血糖免费测》(版本1.3.0,华为应用市场)、《赚赚》(版本2.5.0,应用宝)。
上期通报的公安部计算机信息系统安全产品质量监督检验中心检测发现的34款违法违规移动应用,经复测仍有9款存在问题,相关移动应用分发平台已予以下架。 (注:以上所列移动应用检测时间为2025年9月28日至2025年10月16日)
文章来源自:国家网络安全通报中心
清华大学 | 不只是越狱:探索大模型应用能力边界风险
每周高级威胁情报解读(2025.11.14~11.20)
每周高级威胁情报解读(2025.11.14~11.20)
ISC Stormcast For Friday, November 21st, 2025 https://isc.sans.edu/podcastdetail/9710, (Fri, Nov 21st)
Critics Say White House's Draft AI Order Is a Power Grab
A leaked draft executive order would empower federal agencies to override state AI laws, threatening federal funds for noncompliance and creating a litigation task force - drawing sharp backlash over executive overreach and potential harm to consumers.
$5M Settlement in Geisinger Health, Nuance Insider Breach
A federal court has granted preliminary approval of a $5 million settlement in class action litigation filed against Pennsylvania-based Geisinger Health and Nuance Communications - now part of Microsoft - involving a 2023 insider data breach affecting more than 1 million Geisinger patients.
ENISA Is Now a CVE Program Root
The European Union Agency for Cybersecurity is poised to take on a greater role in coordinating vulnerability disclosures across the trading bloc with its elevation as a "Root"-level participant in the Common Vulnerabilities and Exposures program.
ShinyHunters Hack Salesforce Instances Via Gainsight Apps
Customer relationship management giant Salesforce is again notifying customers that hackers may be stealing their data through a third-party app. The San Francisco company late Wednesday disclosed that apps published by Gainsight connected to Salesforce instances may have "enabled unauthorized access."
OpenAI宣布ChatGPT群组聊天功能向全球所有用户推出 可以创建共享对话空间
Fortinet FortiWeb Authentication Bypass and Command Injection Vulnerability (CVE-2025-64446/CVE-2025-58034) Notice
Fortinet FortiWeb Authentication Bypass and Command Injection Vulnerability (CVE-2025-64446/CVE-2025-58034) Notice
Overview Recently, NSFOCUS CERT detected that Fortinet issued a security bulletin to fix the FortiWeb authentication bypass and command injection vulnerability (CVE-2025-64446/CVE-2025-58034); Combined exploitation can realize unauthorized remote code execution. At present, the vulnerability details and PoC have been made public, and wild exploitation has been found. Relevant users are requested to take measures to […]
The post Fortinet FortiWeb Authentication Bypass and Command Injection Vulnerability (CVE-2025-64446/CVE-2025-58034) Notice appeared first on NSFOCUS, Inc., a global network and cyber security leader, protects enterprises and carriers from advanced cyber attacks..
The post Fortinet FortiWeb Authentication Bypass and Command Injection Vulnerability (CVE-2025-64446/CVE-2025-58034) Notice appeared first on Security Boulevard.