【直播预告】邮件安全“三重防护”指南
直播时间: 3月11日(周三)15:00
立即预约:领试用福利+抽千元好礼
直播亮点
防护实操:反钓鱼+防泄密+堵漏洞
高校系统安全+网关实践经验分享
北工大工程师现场支招,专家直播间面对面交流,立即预约锁定名额!
Aggregator
【梆梆安全监测】安全隐私合规监管趋势及漏洞风险报告(1207-1220)
1 month 1 week ago
【梆梆安全监测】
安全隐私合规监管趋势及漏洞风险报告
(1207-1220)
·最新监管动态
监管通报动态
·监管支撑汇总
梆梆安全监管支撑数据
国家监管数据分析
·漏洞风险分析
各漏洞类型占比分析
存在漏洞的APP各类型占比分析
01 最新监管动态
1. 监管通报动态
12月12日,安徽通管局依据相关法律法规,近期对省内APP进行了拨测检查。检测发现22款APP存在违法违规收集使用个人信息的问题,已对上述企业下达了责令改正通知书,要求限期完成整改工作。逾期不整改的,安徽通管局将依法依规组织开展相关处置工作。
12月17日,河北通管局依据相关法律法规的要求,对APP违法违规收集使用个人信息等问题开展治理,经抽查,共发现12款APP存在侵害用户权益行为,河北通管局予以通报。
12月17日,上海通管局依据相关法律法规的要求,对APP(SDK)违法违规收集使用个人信息等问题开展治理,11月向社会公示了一批存在侵害用户权益行为的APP(SDK),经核查复检,尚有38款APP(SDK)未按照要求落实整改,上海通管局现对上述APP(SDK)采取下架处理。
12月19日,广东通管局依据相关法律法规的要求,持续开展移动应用程序专项治理工作,截至目前,尚有5款APP未完成整改,广东通管局现予以通报。
02 监管支撑汇总
1. 梆梆安全监管支撑数据
依据近两周监管支撑发现存在隐私合规类问题的APP数据,从APP行业分类及TOP3问题数据两方面来说明。
1) 问题行业TOP3:
网上购物类
实用工具类
网络游戏类
2) 隐私合规问题TOP3:
TOP1:164-1:违规收集个人信息
TOP2:认定方法3-8:未向用户提供撤回同意收集个人信息的途径、方式
TOP3:26号文-9:未建立个人信息收集清单
2. 国家监管数据分析
针对国家近两周监管通报数据,依据问题类型,统计涉及APP数量如下:
问题分类
问题数量
164-1 违规收集个人信息
14
164-5 APP强制、频繁、过度索取权限
14
164-2 超范围收集个人信息
3
总计
31
针对国家近两周监管通报数据,依据APP类型,统计出现通报的APP数量如下:
APP类型
APP数量
实用工具类
5
网上购物类
4
学习教育类
3
本地生活类
2
短视频类
2
浏览器类
2
网络游戏类
2
地图导航类
1
网络社区类
1
新闻资讯类
1
用车服务类
1
邮件快件寄递类
1
总计
25
03 漏洞风险分析
从全国的Android APP中随机抽取了2,046款进行漏洞检测发现,存在中高危漏洞威胁的APP为1,620个,即79.18%以上的APP存在中高危漏洞风险。而这1,620款漏洞应用中,有高危漏洞的应用共1,196款,占比73.83%,有中危漏洞的应用共1,581款,占比97.59%(同一款应用可能存在多个等级的漏洞)。存在不同风险等级漏洞的APP占比如下:
各漏洞类型占比分析
针对不同类型的漏洞进行统计,应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示:
存在漏洞的APP各类型占比分析
从APP类型来看,实用工具类APP存在漏洞风险最多,占漏洞APP总量的19.82%,其次为教育学习类APP,占比10.37%,其他类APP位居第三,占比10.02%,漏洞数量排名前十的类型如下图所示:
梆梆安全
公安部通报54款APP违规收集个人信息,停车、翻译、企业服务类应用成重灾区
1 month 1 week ago
依据《网络安全法》《个人信息保护法》等法律法规,按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求,经公安部计算机信息系统安全产品质量监督检验中心检测,54款移动应用存在违法违规收集使用个人信息情况,具体通报如下:
1、未公开收集使用规则。涉及29款移动应用如下:
《四象好停车》(微信小程序)、《驿停车》(支付宝小程序)、《ETCP停车》(支付宝小程序)、《德停车》(微信小程序)、《停车场商家》(微信小程序)、《领停停车》(支付宝小程序)、《博停车》(支付宝小程序)、《龙光服务停车》(微信小程序)、《物联停车》(微信小程序)、《停无忧智慧停车》(微信小程序)、《小桩停车》(支付宝小程序)、《小兵停车》(微信小程序)、《智行停车》(微信小程序)、《飞鸟停车》(支付宝小程序)、《CF好停车》(微信小程序)、《澄捷停车》(微信小程序)、《江南爱停车》(微信小程序)、《泰州好停车》(微信小程序)、《停智慧出行服务停车加油找车位》(微信小程序)、《长安智能停车》(微信小程序)、《汇泊停车》(微信小程序)、《上房停车》(微信小程序)、《嘉亭荟城市生活广场停车场》(微信小程序)、《速宾云停车》(微信小程序)、《成都停车》(微信小程序)、《立方停车》(支付宝小程序)、《息牛停车》(支付宝小程序)、《喜鹊云智慧停车》(微信小程序)、《亿集汇停车》(微信小程序)。
2、未逐一列出收集、使用个人信息的目的、方式、范围。涉及5款移动应用如下:
《企拓客》(版本2.7.12,应用宝)、《想家停车》(微信小程序)、《小猫爱车》(版本6.0.35,应用宝)、《PP停车》(版本4.3.3,小米应用商店)、《慧停车》(版本8.0.10,vivo应用商店)。
3、在申请打开可收集个人信息的权限时,未同步告知用户其目的。涉及6款移动应用如下:
《小艾停车助手》(支付宝小程序)、《速停车》(微信小程序)、《停车百事通》(版本5.5.5,应用宝)、《小桩停车》(支付宝小程序)、《艾润停车王》(支付宝小程序)、《行呗停车》(支付宝小程序)。
4、征得用户同意前就开始收集个人信息。涉及3款移动应用如下:
《停车场云助手》(版本2.9.16,vivo应用商店)、《停车百事通》(版本5.5.5,应用宝)、《小强停车》(微信小程序)。
5、实际收集的个人信息超出用户授权范围。涉及4款移动应用如下:
《企拓客》(版本2.7.12,应用宝)、《想家停车》(微信小程序)、《PP停车》(版本4.3.3,小米应用商店)、《慧停车》(版本8.0.10,vivo应用商店)。
6、配置文件中声明的可收集个人信息的权限超出相关功能的必要范围。涉及1款移动应用如下:
《专利宝》(版本4.0.9,华为应用市场)。
7、实际收集的个人信息超出相关功能的必要范围。涉及3款移动应用如下:
《企拓客》(版本2.7.12,应用宝)、《英语天天练》(版本1.32.01,应用宝)、《任马停》(版本3.6.9,豌豆荚)。
8、提前要求用户打开非当前功能所需的可收集个人信息权限。涉及7款移动应用如下:
《速停车》(微信小程序)、《停车百事通》(版本5.5.5,应用宝)、《天眼》(版本1.151,OPPO软件商店)、《捷安泊智慧停车》(微信小程序)、《汇泊停车》(微信小程序)、《迈泊智慧停车》(微信小程序)、《任意停车》(微信小程序)。
9、未向用户提供个人信息相关投诉渠道或功能。涉及4款移动应用如下:
《安卓翻译官》(版本1.1.6,vivo应用商店)、《德停车》(微信小程序)、《博停车》(支付宝小程序)、《全球翻译通》(版本3.1.1,OPPO软件商店)。
10、未向用户提供更正或补充其个人信息的具体途径。涉及8款移动应用如下:
《安卓翻译官》(版本1.1.6,vivo应用商店)、《博停车》(支付宝小程序)、《停无忧智慧停车》(微信小程序)、《文字扫描识别精灵》(版本3.4,vivo应用商店)、《飞鸟停车》(支付宝小程序)、《慧停车》(版本8.0.10,vivo应用商店)、《成都停车》(微信小程序)、《小强停车》(微信小程序)。
11、未向用户提供删除其个人信息的具体途径。涉及7款移动应用如下:
《博停车》(支付宝小程序)、《停无忧智慧停车》(微信小程序)、《标标达》(版本4.1.2,OPPO软件商店)、《慧停车》(版本8.0.10,vivo应用商店)、《成都停车》(微信小程序)、《行呗停车》(支付宝小程序)、《小强停车》(微信小程序)。
12、未向用户提供注销账户的途径和方式。涉及8款移动应用如下:
《博停车》(支付宝小程序)、《小兵停车》(微信小程序)、《飞鸟停车》(支付宝小程序)、《慧停车》(版本8.0.10,vivo应用商店)、《成都停车》(微信小程序)、《立方停车》(支付宝小程序)、《小强停车》(微信小程序)、《喜鹊云智慧停车》(微信小程序)。
13、注销账户的流程中设置不合理的条件或提出额外要求。涉及2款移动应用如下:
《惠泊车》(版本3.5.0,应用宝)、《标标达》(版本4.1.2,OPPO软件商店)。
14、广告存在误导、欺骗用户行为。涉及1款移动应用如下:
《北京停车服务》(微信小程序)。
上期通报的公安部计算机信息系统安全产品质量监督检验中心检测发现的40款违法违规移动应用,经复测仍有9款存在问题,相关移动应用分发平台已予以下架。
(注:文中所列移动应用检测时间为2025年11月7日至2025年12月3日)
来源:国家网络安全通报中心
根据通报内容,被通报的移动应用主要集中在停车服务类、企业服务类、翻译工具类应用。其中,停车相关小程序和APP数量最多,覆盖多个地区与运营主体,反映出在日常工具和生活服务类应用中,个人信息收集使用不规范问题较为突出。
通报中归纳的问题类型主要包括以下几类:一是未公开或未明确告知收集使用规则;二是权限申请与功能不匹配或超出必要范围;三是未履行告知同意义务,提前或超范围收集信息;四是未提供用户权利行使渠道,如投诉、更正、删除、注销等功能缺失或设置障碍;五是存在误导性广告行为。这些问题集中体现了部分应用在合规意识、流程设计和用户权益保障方面的薄弱环节。
此次通报进一步警示各应用运营企业,须将个人信息保护切实纳入运营管理的核心环节,严格遵循《网络安全法》《个人信息保护法》等规定,完善内部合规体系。忽视用户隐私权益,不仅会招致监管处置,更将侵蚀企业声誉与用户信任,最终制约自身发展。合规已成为企业稳定经营与持续成长的必要基础。
梆梆安全移动应用合规检测框架
梆梆安全依托十余年深耕移动安全领域的技术沉淀与实践经验,系统性搭建了专业的移动应用合规检测框架,通过覆盖应用全生命周期的自动化检测与深度分析,精准识别隐私合规性问题并输出风险评估报告及整改建议,助力企业高效构建合规防线。
梆梆安全
V(N)shell 出题小记
1 month 1 week ago
VNCTF2025-misc-V(N)Shell官方题解,详细解题思路
赛博龙虾养殖指南
1 month 1 week ago
祝你的赛博龙虾茁壮成长!
内网漫游
1 month 1 week ago
ApoorvCTF 2026
1 month 1 week ago
Name: ApoorvCTF 2026 (an ApoorvCTF event.)
Date: March 6, 2026, 9 p.m. — 08 March 2026, 21:00 UTC [add to calendar]
Format: Jeopardy
On-line
Offical URL: https://apoorvctf.iiitkottayam.ac.in/
Rating weight: 24.10
Event organizers: LAT3_C0M3R5
Date: March 6, 2026, 9 p.m. — 08 March 2026, 21:00 UTC [add to calendar]
Format: Jeopardy
On-line
Offical URL: https://apoorvctf.iiitkottayam.ac.in/
Rating weight: 24.10
Event organizers: LAT3_C0M3R5
Axiom CTF 2026
1 month 1 week ago
Name: Axiom CTF 2026 (an Axiom CTF event.)
Date: March 7, 2026, 7 a.m. — 08 March 2026, 19:00 UTC [add to calendar]
Format: Jeopardy
On-line
Offical URL: https://ctf.4x10m.ru/
Rating weight: 23.74
Event organizers: 4x10m
Date: March 7, 2026, 7 a.m. — 08 March 2026, 19:00 UTC [add to calendar]
Format: Jeopardy
On-line
Offical URL: https://ctf.4x10m.ru/
Rating weight: 23.74
Event organizers: 4x10m
@Hack 2026
1 month 1 week ago
Name: @Hack 2026 (an @Hack event.)
Date: March 7, 2026, 2 p.m. — 08 March 2026, 19:00 UTC [add to calendar]
Format: Jeopardy
On-site
Location: Montreal, Canada
Offical URL: https://athackctf.com/
Rating weight: 0
Event organizers: atHACKprivate
Date: March 7, 2026, 2 p.m. — 08 March 2026, 19:00 UTC [add to calendar]
Format: Jeopardy
On-site
Location: Montreal, Canada
Offical URL: https://athackctf.com/
Rating weight: 0
Event organizers: atHACKprivate
DiceCTF 2026 Quals
1 month 1 week ago
Name: DiceCTF 2026 Quals (an DiceCTF event.)
Date: March 7, 2026, 5 p.m. — 08 March 2026, 17:00 UTC [add to calendar]
Format: Jeopardy
On-line
Offical URL: https://ctf.dicega.ng/
Rating weight: 100.00
Event organizers: DiceGang
Date: March 7, 2026, 5 p.m. — 08 March 2026, 17:00 UTC [add to calendar]
Format: Jeopardy
On-line
Offical URL: https://ctf.dicega.ng/
Rating weight: 100.00
Event organizers: DiceGang
JVN: Qsee ClientのインストーラにおけるDLL読み込みに関する脆弱性
1 month 1 week ago
Qseeが提供するQsee ClientのインストーラにはDLL読み込みに関する脆弱性が存在します。
CVE-2026-3791 | SourceCodester Sales and Inventory System 1.0 Search dashboard.php searchtxt sql injection (EUVD-2026-10281)
1 month 1 week ago
A vulnerability identified as critical has been detected in SourceCodester Sales and Inventory System 1.0. Affected by this issue is some unknown functionality of the file dashboard.php of the component Search. The manipulation of the argument searchtxt leads to sql injection.
This vulnerability is uniquely identified as CVE-2026-3791. The attack is possible to be carried out remotely. Moreover, an exploit is present.
vuldb.com
CVE-2026-3792 | SourceCodester Sales and Inventory System 1.0 GET Parameter purchase_invoice.php purchaseid sql injection (EUVD-2026-10282)
1 month 1 week ago
A vulnerability labeled as critical has been found in SourceCodester Sales and Inventory System 1.0. This affects an unknown part of the file purchase_invoice.php of the component GET Parameter Handler. The manipulation of the argument purchaseid results in sql injection.
This vulnerability was named CVE-2026-3792. The attack may be performed from remote. In addition, an exploit is available.
vuldb.com
《中国信息安全》杂志2026年第2期目录
1 month 1 week ago
欢迎订阅《中国信息安全》杂志!
中国信息安全测评中心主任彭涛:良法善治筑坚盾 网安新规绘新篇
1 month 1 week ago
2026年是“十五五”规划扬帆启新之年,新修改的《中华人民共和国网络安全法》正式施行。此次修法深入贯彻习近平法治思想和习近平总书记关于网络强国的重要思想,立足数智时代发展大势,主动适应网络安全新形势新要求,既坚守立法初心、传承核心要义……
CVE-2022-3607 | octoprint up to 1.8.2 special elements into a different plane (special element injection) (EUVD-2022-0177)
1 month 1 week ago
A vulnerability has been found in octoprint up to 1.8.2 and classified as critical. This impacts an unknown function. The manipulation leads to failure to sanitize special elements into a different plane (special element injection).
This vulnerability is documented as CVE-2022-3607. The attack needs to be performed locally. There is not any exploit available.
The affected component should be upgraded.
vuldb.com
CVE-2022-36087 | OAuthLib up to 3.2.0 on Python Redirect URI denial of service (GHSA-3pgj-pg6c-r5p7 / EUVD-2022-0170)
1 month 1 week ago
A vulnerability was found in OAuthLib up to 3.2.0 on Python and classified as problematic. This impacts an unknown function of the component Redirect URI Handler. Such manipulation leads to denial of service.
This vulnerability is traded as CVE-2022-36087. The attack may be launched remotely. There is no exploit available.
It is suggested to upgrade the affected component.
vuldb.com
CVE-2022-41954 | MPXJ up to 10.14.0 temp file (GHSA-jf2p-4gqj-849g / EUVD-2022-0160)
1 month 1 week ago
A vulnerability was found in MPXJ up to 10.14.0. It has been rated as problematic. This affects an unknown part. The manipulation leads to insecure temporary file.
This vulnerability is listed as CVE-2022-41954. The attack may be initiated remotely. There is no available exploit.
Upgrading the affected component is advised.
vuldb.com
CVE-2022-41954 | Oracle Primavera Unifier up to 19.12.16/20.12.16/21.12.16/22.12.9 Platform information disclosure (EUVD-2022-0160)
1 month 1 week ago
A vulnerability has been found in Oracle Primavera Unifier up to 19.12.16/20.12.16/21.12.16/22.12.9 and classified as problematic. The affected element is an unknown function of the component Platform. The manipulation leads to information disclosure.
This vulnerability is uniquely identified as CVE-2022-41954. Local access is required to approach this attack. No exploit exists.
vuldb.com
CVE-2022-39286 | Jupyter Core up to 4.11.1 jupyter_core unnecessary privileges (GHSA-m678-f26j-3hrp / EUVD-2022-0129)
1 month 1 week ago
A vulnerability, which was classified as critical, was found in Jupyter Core up to 4.11.1. This issue affects the function jupyter_core. Executing a manipulation can lead to execution with unnecessary privileges.
This vulnerability is handled as CVE-2022-39286. The attack can be executed remotely. There is not any exploit available.
You should upgrade the affected component.
vuldb.com