Aggregator

Researchers have uncovered three serious vulnerabilities in Rack, a server interface used by most Ruby web app frameworks (Ruby on Rails, Sinatra, Hanami, Roda, and others). Two of the flaws – CVE-2025-25184 and CVE-2025-27111 – could allow attackers to manipulate log content and entries, while the third one – CVE-2025-27610 – is a path traversal vulnerability that may allow attackers to gain unauthorized access to sensitive information. About CVE-2025-27610 Rack provides a standardized way for … More →

The post Rack Ruby vulnerability could reveal secrets to attackers (CVE-2025-27610) appeared first on Help Net Security.

随着Apple Vision Pro的全球发布，智能VR应用正深度融入金融、娱乐、教育、医疗、工业等核心产业领域，成为数字世界的全新入口：

·金融机构打造沉浸式财富管理，用户可通过手势交互查看实时金价3D波动模型，在虚拟银行大厅完成黄金制品360°检视与一键交易，全息助手动态解析资产配置策略；

·文体娱乐产业革新全景交互体验，推出VIP视角观赛，用户可自由切换球员视角与战术俯瞰模式，通过眼动追踪标记明星球员运动轨迹；

·教育领域构建高精度实训系统，医学生可通过毫米级3D血管模型进行虚拟穿刺训练，系统实时压力反馈与误差标注。

在空间计算技术驱动创新场景落地的同时，VR应用承载的高价值交互算法、用户隐私数据及沉浸式体验核心代码，正面临代码逆向、动态注入、二次打包等愈发复杂的安全威胁。

作为移动安全领域的践行者，梆梆安全基于十余年技术积累和攻防实践经验，正式推出智能VR应用加固产品，以全栈安全能力护航VR生态，开启沉浸式体验安全新纪元！

梆梆安全智能VR应用加固

Apple Vision APP依托高性能3D引擎、空间计算算法及多模态交互技术，构建虚实融合的沉浸体验。其开发语言复杂（如Swift、C++、ARKit框架）、代码逻辑庞大，一旦核心算法与用户隐私数据泄露，将导致企业知识产权受损、用户信任崩塌，甚至引发重大安全事故。梆梆安全持续洞察VR生态，深度融合“源到源”加固技术方案，构建VR场景下的应用全维度防护体系：

一 三大核心能力

1.全栈代码保护：从源头阻断逆向攻击

·控制流隐匿与多样性混淆：通过控制流平坦化、虚假分支注入、符号混淆、不透明谓词等技术，彻底打乱VR应用逻辑结构，抵御IDA Pro等逆向工具解析。

·关键算法加密：对空间定位、手势识别、环境建模等核心算法代码进行动态混淆与分段加密，防止逻辑破解与算法盗用。

·高敏感字符串保护：采用随机化存储与分段加密技术，隐藏3D模型路径、API密钥等敏感信息，杜绝资源窃取风险。

2. 动态运行时防护：实时抵御虚实攻击

·防动态调试与注入：“动静结合”防调试保护技术，实时检测并阻断LLDB、Frida等调试工具攻击，识别Hook注入行为，保护交互逻辑完整性。

·防二次打包与篡改：校验开发者签名与Bundle ID，阻断恶意植入广告、木马的仿冒应用流通，守护品牌声誉。

·高风险环境拦截：精准识别越狱设备、模拟器及网络代理环境，确保VR应用仅在安全设备中运行。

3. 隐私与数据安全：捍卫沉浸式体验信任基石

·防屏幕信息泄露：实时监控VR应用屏幕录制与投屏行为，警示用户防范隐私窃取。

·防远程控制欺诈：实时监测VR应用屏幕共享行为，警示用户提高防诱导性欺诈、信息窃取行为。

·传输数据保护：增加对网络代理、VPN运行环境的监测，防止基于虚假代理、恶意VPN下的应用抓包行为，防止通信数据被恶意劫持、篡改、窃取。

·运行日志净化：自动清除调试日志信息，避免敏感信息残留导致的数据泄露。

二 四大产品优势

1.首套多模态开发语言全链路防护体系构建实践

梆梆安全智能VR加固技术全面支持Swift、ObJC/ObjC++、C/C++不同开发语言代码的加固保护，覆盖VR应用自身代码安全到运行环境安全的全栈风险防护，提供一站式安全闭环服务。

2.加固结果可视化，便于企业内部安全审查

梆梆安全特有的“源到源”加固技术方案，可以为VR应用开发企业提供直观、可视的加固后代码审查能力，充分保障VR应用在加固处理过程中不会引入不安全的第三方代码。

3.极简部署，无缝兼容开发流程

支持一键式加固，开发者无需修改代码即可完成加固保护能力集成，加固后应用启动耗时增量控制在毫秒级，用户体验“零感知”。

4.灵活适配多行业场景

方案已成功应用于VR金融、VR游戏、虚拟医疗培训、工业数字孪生、元宇宙社交等领域，保护高精度空间算法、实时协作协议及用户隐私数据，满足金融级安全合规要求。

作为移动安全技术领域的中坚力量，梆梆安全始终专注智能终端防护技术的研发与演进。此次智能VR应用加固产品的发布，完善了沉浸式体验应用保护细分领域技术体系，依托"攻防协同"创新机制，为多行业用户构建可信的虚实融合数字环境提供技术支撑。未来，我们将携手开发者与生态伙伴，共同推动VR安全标准建设，让每一次沉浸体验都安全无虞！

如需体验梆梆安全智能VR应用加固，为您的Vision APP穿上“隐形铠甲”，请咨询梆梆安全官方热线：4008-881-881。

依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》等法律法规，按照工业和信息化部工作部署要求，国家监管机构持续开展APP隐私合规和网络数据安全专项整治。

梆梆安全《安全隐私合规监管趋势报告》持续跟进国家监管机构通报数据，并依据近期监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及隐私合规问题进行分类说明，帮助企业更好的完成APP隐私合规建设。

最新监管通报动态

4月1日，湖北通管局依据相关法律法规，组织第三方检测机构对省内APP应用侵害用户权益行为开展检查，截至目前，尚有1款APP未按期进行整改，上述APP运营者应限期提交书面说明，逾期未提交或理由不充分的，湖北通管局将依法依规组织开展相关处置工作。

4月3日，浙江通管局依据相关法律法规，持续开展APP侵害用户权益治理工作，截至目前，尚有5款APP未按要求完成整改，上述APP应限期完成整改，对于整改落实不到位的，浙江通管局将视情采取下架、关停、行政处罚等措施。

4月3日，山东通管局依据相关法律法规，开展APP侵害用户权益专项整治工作，截至目前，仍有12款APP未在要求的限期内完成整改，上述APP应限期完成整改与情况反馈工作，对于再次逾期仍未整改到位的，山东通管局将视情采取下架、关停、行政处罚等措施；另仍有4款APP未完成整改反馈，山东通管局决定对上述APP予以下架处理。

4月7日, 安徽通管局依据相关法律法规，对省内APP进行了拨测检查，截至目前，尚有5款APP未完成问题整改，上述APP应限期完成整改，逾期未整改的，安徽通管局将依法依规组织开展相关处置工作。

4月10日, 内蒙古通管局依据相关法律法规，委托第三方检测机构对属地APP进行抽检，发现68款APP存在隐私合规问题，上述APP应限期完成整改，逾期未整改的，内蒙古通管局将依法依规予以社会公告、组织APP下架、停止APP接入服务等处理。

4月10日, 上海通管局依据相关法律法规，持续整治APP侵害用户权益的违规行为，并组织第三方检测机构对市内移动互联网应用程序进行抽查，共发现5款APP及小程序存在侵害用户权益行为，上述APP及小程序应限期完成整改，整改落实不到位的，上海通管局将依法依规组织开展处置工作。

4月14日, 宁夏通管局依据相关法律法规，持续开展APP个人信息保护和网络数据安全专项整治工作，截至目前，尚有6款小程序未按要求完成整改，上述小程序应限期完成整改，逾期未整改或整改不到位的，宁夏通管局将依法依规予以处置。

4月14日, 河北通管局依据相关法律法规，持续整治APP侵害用户权益的违规行为，截至目前，尚有7款APP未按照要求完成整改，河北通管局决定对上述APP予以下架处理。

监管支撑汇总

1.梆梆监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及TOP2问题数据两方面来说明。

1）问题行业TOP5：

酒店服务、实用工具、本地生活，运动健身、网上购物。

2）隐私合规问题TOP2：

TOP1：164号文 1：APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意，私自收集用户个人信息；

TOP2：164号文 5：APP强制、频繁、过度索取权限。

2.国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

问题分类

问题数量

违规收集个人信息

100

27

16

违规使用个人信息

15

超范围收集个人信息

10

欺骗误导用户提供个人信息

8

未按法律规定提供删除或更正个人信息功

能或未公布投诉、举报方式等信息

4

未明示收集使用个人信息的目的、方式和

范围

1

应用分发平台上的APP信息明示不到位

1

总计

182

针对国家近两周监管通报数据，依据APP类型，统计出现通报的APP数量如下：

App类型

App数量

实用工具

26

新闻资讯

25

本地生活

16

9

学习教育

6

4

求职招聘

4

即时通信

3

网络社区

3

网络约车

3

用车服务

3

在线影音

3

旅游服务

2

手机银行

2

问诊挂号

2

投资理财

1

网络游戏

1

总计

113

A sophisticated cyberattack campaign has surfaced, targeting poorly managed Microsoft SQL (MS-SQL) servers to deploy malicious tools like Ammyy Admin and PetitPotato malware. Cybersecurity researchers have observed attackers exploiting vulnerabilities in these servers to gain unauthorized access, execute commands for reconnaissance, and install malware that facilitates remote access and privilege escalation. This emerging threat underscores […]

The post Hackers Exploit MS-SQL Servers to Deploy Ammyy Admin for Remote Access appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.