Aggregator

A critical Broken Object Level Authorization (BOLA) vulnerability in Lovable, the popular AI-powered app builder platform, is reportedly allowing unauthorized users to access sensitive project data, including source code, database credentials, AI chat histories, and real customer information from thousands of projects created before November 2025. The flaw, classified as a Broken Object Level Authorization […]

The post Lovable AI App Builder Reportedly Exposes Thousands of Projects Data via API Flaw appeared first on Cyber Security News.

You must login to view this content

You must login to view this content

You must login to view this content

梆梆安全发布《2026年Q1移动应用安全风险报告》。本报告基于梆梆安全移动应用监管平台在2026年一季度的威胁监测数据与深度安全分析成果，系统梳理当前国内移动应用面临的新型攻击技术演进与安全趋势变化，聚焦盗版仿冒、境外数据传输、高危漏洞、个人隐私违规等多个维度，为移动应用安全建设工作提供参考与实践指引。

当前，我国数字经济与实体经济融合持续深入，移动互联网已演进为支撑社会数字化转型的关键基础设施。根据中国互联网络信息中心（CNNIC）第57次《中国互联网络发展状况统计报告》，截至2025年12月，我国网民规模达11.25亿，互联网普及率突破80%，其中手机网民规模达11.21亿，占比高达99.6%，移动终端在数字接入生态中的核心地位进一步巩固。

与此同时，用户对移动应用的依赖程度持续加深。数据显示，我国网民人均每周上网时长已达32.5小时，人均使用APP数量接近30款，移动互联网接入流量全年达3958亿GB，同比增长17.3%。从应用类型看，网络视频、即时通信、网络购物与支付等场景的用户规模均超过10亿，短视频用户渗透率达95.4%，移动应用已深度渗透至日常生活的方方面面。

在“人工智能+”行动计划的推动下，智能终端与移动应用的融合加速演进。智能穿戴设备、智能家居等场景快速发展，截至2025年底，使用个人可穿戴设备上网的比例达26.9%，智能家居设备上网比例达20.8%。生成式人工智能用户规模更是激增至6.02亿，AI能力正被广泛集成至各类APP中，成为提升用户体验的核心驱动力。

然而，移动应用服务场景的不断深化也带来了严峻的安全挑战。应用漏洞、隐私违规、数据跨境传输、盗版仿冒等风险日益突出。在本次监测周期内，超过80%的APP存在中高危漏洞，超八成的应用涉及隐私违规问题，数据境外传输行为持续存在，第三方SDK的供应链风险亦不容忽视。面对技术快速迭代与合规监管持续收紧的双重压力，构建全方位、体系化的移动安全防护机制已刻不容缓。

（完整版报告获取方式见文末）

01 全国移动应用概况

根据梆梆安全移动应用监管平台对国内外1000+活跃应用市场实时监测的数据显示，2026-01-01至2026-03-31发布的应用中，归属于全国的Android应用总量为70,233款，涉及开发者总量22,169家。  

从APP的分布区域来看，广东省APP数量仍然位居第一，约占全国APP总量的19.6%，位居第二、第三的区域分别是北京市和上海市，对应归属的APP数量是10,713、6,857个。具体分布如图1所示：

图1 全国APP区域分布TOP10

从APP的渠道分布来看，截止统计周期内，全国移动应用分发市场有1,193家，位居渠道排名前三的分别为VIVO应用商店、2345手机助手、应用宝。全国移动应用渠道分布如图2所示：

图2 全国移动应用渠道分布TOP10

从APP的功能和用途类型来看，实用工具类APP数量稳居首位，占全国APP总量的20.16% ；其他类APP位居第二，占全国APP总量的14.23%；教育学习类APP排名第三，占全国 APP总量的9.7%。各类型APP占比情况如图3所示：

图3 全国APP类型分布TOP10

02 全国移动应用安全分析概况

当前，移动应用与智能终端的深度融合催生了更为复杂的安全风险。在网络购物与支付场景中，海量资金流转使盗刷、钓鱼欺诈等威胁持续高发；外卖服务涉及精确地址与联系方式，互联网医疗承载着病历、健康档案等高度敏感信息，在线教育则包含大量未成年人数据——这些垂直领域的深度渗透使得个人隐私一旦泄露后果尤为严重；生成式人工智能的快速普及，可能被恶意利用于生成钓鱼内容或深度伪造音视频，大幅提升社会工程攻击的成功率；此外，部分智能终端往往安全更新滞后、权限管理松散，易被劫持为僵尸网络节点或用于窃取生物识别信息。

综上，移动安全风险已从传统的漏洞利用演变为涵盖数据违规收集、恶意滥用、非法获取、跨境散播以及AI供应链攻击、智能终端边侧入侵的多维复合威胁。

梆梆安全移动应用监管平台通过调用不同类型的自动化检测引擎，对全国Android应用进行抽样检测，风险应用从盗版（仿冒）、境外数据传输、高危漏洞、个人隐私违规4个维度综合统计，风险应用数量如图4所示：

图4 风险应用数量统计

2.1 漏洞风险分析

从全国Android APP中随机抽取6,701款进行漏洞检测，发现存在漏洞威胁的APP为5,407个，即80.69%以上的APP存在中高危漏洞风险。在这5,407款APP的漏洞中，高危漏洞占比76.7%，中危漏洞占比98.5%（同一APP可能存在多个等级漏洞）。

对不同类型的漏洞进行统计发现，多数安全漏洞可以通过应用加固方案解决，由此也反映出部分开发者与运营者重功能轻安全防护，安全意识薄弱。应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞、动态注册Receiver风险。各漏洞类型占比情况如图5所示：

图5 漏洞类型占比TOP10

从APP类型来看，实用工具类APP存在的漏洞风险最多，占漏洞APP总量的20.35%；其次为其他类APP，占比16.49%；教育学习类APP位居第三，占比8.45%，漏洞数量排名前10的APP类型如图6所示：

图6 存在漏洞的APP类型TOP10

2.2 盗版（仿冒）风险分析

盗版APP是指未经版权人授权，通过篡改正版APP并植入恶意代码后重新发布的应用。此类APP可能导致用户信息泄露、手机中毒等安全风险。

“剑网行动”是国家版权局、工业和信息化部、公安部、国家网信办四部门联合开展的打击网络侵权盗版专项行动。自2005年起，行动聚焦网络侵权热点难点，针对细分领域查处了一批大案要案，有效净化了网络版权秩序，保护了互联网企业的合法权益。2025年5月至11月开展的“剑网2025”已是第21次专项行动，重点整治视听作品、动漫游戏、计算机软件、网络存储与传播、网络销售、流媒体智能终端等六个领域。

从全国的Android APP中随机抽取28款进行盗版（仿冒）引擎分析，检测出盗版（仿冒）APP 28个，其中实用工具、游戏娱乐、社交通讯类应用是山寨APP的重灾区，各类型占比情况如图7所示：

图7 盗版（仿冒）APP类型TOP10

2.3 境外传输数据分析

当前，随着数字经济的深入发展和全球化进程的加速，数据跨境流动已成为企业运营不可或缺的环节。重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全与公共利益。因此数据出境合规管理，不仅是提高数字经济全球竞争力的基础，更是守护国家安全的保障。

国家持续完善数据出境安全管理体系，已构建起以《网络安全法》《数据安全法》《个人信息保护法》三部法律为支柱，以《网络数据安全管理条例》为支撑，以《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》《个人信息出境认证办法》等四部规章为核心实施路径的完整制度体系。

从全国的Android APP中随机抽取4,089款Android APP进行境外数据传输引擎分析，发现其中302款应用存在往境外的IP传输数据的情况，从统计数据来看，发往美国的最多，占比70.2%；其次是发往澳大利亚，占比14.57%。无论是针对移动应用程序自身程序代码的数据外发行为，还是针对第三方SDK的境外数据外发行为，都建议监管部门加强对数据出境行为的监管。数据传输至境外国家占比排行情况如图8所示：

图8 数据传输至境外国家占比TOP10

从APP类型来看，其他类APP往境外IP传输数据的情况最多，占境外传输APP总量的23.51%；其次为实用工具类APP，占比18.54%；生活服务类APP占比7.95%，位列第三。各类型占比情况如图9所示：

图9 境外传输数据APP各类型占比TOP10

2.4 个人隐私违规分析

当前，APP强制索权、违规收集使用个人信息等问题日益突出，暴露出企业在数据合规体系建设上的滞后。2026年4月，中央网信办、工业和信息化部、公安部联合发布公告，开展年度个人信息保护系列专项行动，聚焦APP及SDK、互联网广告、教育、交通、卫生健康、金融等重点领域，系统治理违法违规收集使用个人信息的典型问题，并专项打击侵犯个人信息的违法犯罪活动。面对持续收紧的监管态势，企业须将“隐私合规”置于产品设计的核心。

从全国Android APP中随机抽取4,089款进行合规引擎分析，检测出82.22%的APP涉及隐私违规现象，如：违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等。各违规类型占比情况如图10所示：

图10 个人隐私违规类型占比情况

从APP类型来看，其他类APP存在个人隐私违规问题最多，占检测总量的19.6%，其中五成以上涉及频繁申请权限问题；实用工具类APP存在隐私违规问题占检测总量的17.61%，位居第二；教育学习类APP存在隐私违规问题占检测总量的9.43%，位居第三。涉及个人隐私违规APP各类型占比如图11所示：

图11 个人隐私违规APP类型TOP10

2.5 第三方SDK风险分析

第三方软件开发包（SDK）是由广告平台、数据服务商、社交网络及地图服务商等第三方提供的功能集成工具。为降低开发成本、提升功能实现效率，APP开发与运营方普遍在应用程序中集成各类第三方SDK，以快速实现相应服务。然而，一旦所集成的SDK存在安全漏洞，将可能引发供应链式安全风险，导致所有集成该SDK的应用程序面临被攻击的威胁。

从APP类型来看，实用工具类APP内置第三方SDK的数量最多，占比19.35%；其次为其他类APP，占比18.78%；教育学习类APP位列第三，占比9.29%。内置第三方SDK应用各类型APP占比如图12所示：

图12 内置第三方SDK应用各类型APP占比TOP10

2.6 应用加固现状分析

在移动应用深度融入生产生活的今天，其安全性直接关乎用户隐私与企业核心资产。若一款APP未经任何安全加固便直接上线，在黑客和黑灰产眼中无异于“裸奔”，极易被逆向分析、反编译、二次打包或恶意篡改。因此，必须对APP进行专业加固，通过代码混淆、加密、运行时保护等技术，为应用穿上“铠甲”。

从全国的Android APP中随机抽取47,266款进行加固引擎检测，检测出已加固的应用仅占应用总量的30.85%。

从应用类型来看，APP加固率排名前三的分别是党政机关、金融理财、新闻阅读类APP。不同APP类型加固占比如图13所示：

图13 不同APP类型加固占比

面对当前移动应用安全现状，应用漏洞与隐私违规问题最为突出，盗版仿冒、数据境外传输等威胁同样不容忽视。应对各类风险，需要各方协同发力。

1）企业及开发运营者应加强自身APP的安全防护，严格遵守相关法律法规，切实履行安全与合规的责任与义务。

2）监管部门需针对移动APP各类威胁及时更新法规，加强对应用分发平台的监管，督促落实上架审核与平台责任，严控过度索权行为，加大违法违规发现、曝光与处置力度。

3）广大用户应提升安全意识，认准官方渠道或主流应用市场下载APP，警惕陌生链接与二维码，注意保护个人隐私，防止信息泄露导致财产损失。

The post Life in the Swimlane with Jonathan Badal, Sr. Business Development Representative appeared first on AI Security Automation.

The post Life in the Swimlane with Jonathan Badal, Sr. Business Development Representative appeared first on Security Boulevard.

A new and deceptive attack campaign has emerged where threat actors are impersonating IT helpdesk personnel through Microsoft Teams to trick employees into granting remote access to their systems. What makes this campaign dangerous is how it uses trusted, everyday business tools to sidestep user suspicion and quietly infiltrate enterprise networks without triggering traditional security […]

The post Attackers Abuse Microsoft Teams and Quick Assist in New Helpdesk Impersonation Attack Chain appeared first on Cyber Security News.

Public key infrastructure — the authentication and encryption framework that has held digital commerce together through every chaotic leap forward in technology — is facing a double whammy.

Related: Achieveing AI security won’t be easy

Autonomous AI agents are flooding … (more…)

The post Fireside Chat: PKI has carried digital trust through every tech advance—now comes the hardest one first appeared on The Last Watchdog.

The post Fireside Chat: PKI has carried digital trust through every tech advance—now comes the hardest one appeared first on Security Boulevard.