Aggregator

近日，由国家网络与信息安全信息通报中心指导，四川省网络与信息安全信息通报中心、成都市网络与信息安全信息通报中心、成都天府新区投资集团有限公司主办，公安部第三研究所、上海海盾安全技术培训中心承办的第六届“天府杯”国际网络空间安全大赛在成都顺利闭幕。

其中，360数字安全集团旗下漏洞研究院以单一独立战队身份参赛，凭借扎实的漏洞挖掘技术、前沿的AI赋能能力与丰富的实战攻防经验，在激烈比拼中一举夺魁，荣获独立战队积分榜第一名，并凭借其漏洞发现的高质量与高价值，获评“最佳漏洞发现团队”。此次加冕，是360在创下首届至第三届“天府杯”三连冠历史纪录后，于顶级赛场上的实力回归。

本届大赛紧扣技术引领主线，在全面强化漏洞防护能力的基础上，致力于构建网络安全产业生态与创新高地，通过“以赛促产、以赛聚才”，有力推动数字安全产业高质量发展。另外，在技术演进与竞赛形态方面， AI已从辅助工具跃升为漏洞挖掘的核心引擎，赛事在很大程度上已成为各战队AI能力与协同水平的直接较量。

360漏洞研究院院长龚广表示，本届比赛中被成功攻克的漏洞中，360有高达50%依赖于AI的辅助发现与利用。其通过自研的漏洞挖掘智能体，显著提升了模糊测试（Fuzzing）覆盖率与代码审计效率，不仅能够从海量代码中快速定位潜在风险，更能协助构建复杂的攻击利用链。此次“天府杯”的实战检验表明，360在“AI+安全”领域的战略布局，已实现从技术概念到实战成效的全面跨越，正在重新定义漏洞挖掘的生产流程。

随着AI技术的高速发展，漏洞利用门槛持续降低，安全威胁正以前所未有的速度从数字空间向物理世界蔓延。在此背景下，360于赛场上的每一次技术攻坚，本质上都是对数字社会基础设施的前瞻性防护演练。 

此次问鼎第六届“天府杯”独立战队榜首，不仅是对其行业领先安全实力的再次确认，更是对未来防御体系的一次关键预演。未来，360将持续加大核心技术投入，深入推动数字安全与人工智能的融合创新，以更高效的漏洞挖掘与更可靠的防护能力，为千行百业的数字化转型筑牢安全屏障。

关于侵害用户权益行为的APP（SDK）通报

（2025年第8批，总第53批）

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工信部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期，经组织第三方检测机构进行抽查，共发现24款APP及SDK存在侵害用户权益行为（详见附件），现予以通报。

来源：工信微报

工信部最新通报24款违规APP及SDK，为移动应用合规运营再次敲响警钟。此次通报的应用主要涉及教育学习、健康生活、社交娱乐、工具服务及广告SDK五大类别。这些应用因其功能常需处理用户敏感信息，也成为违规行为的“高发区”。

通报中揭示的问题可归纳为四类：一是隐私政策不透明，未明示个人信息收集清单或未公示SDK信息；二是权限索取行为不规范，存在强制、频繁、过度索取权限的情况；三是数据收集超出合理范围，包括违规收集、超范围收集，甚至欺骗误导用户提供信息；四是用户交互体验不良，例如信息窗口恶意跳转等。

梆梆安全依托十余年深耕移动安全领域的技术沉淀与实践经验，系统性搭建了专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业高效构建合规防线。

梆梆安全移动应用合规检测框架

在移动应用程序敏捷开发环境下，仅依赖自动化工具或纯人工检测均难以有效应对合规风险。梆梆安全提供采用“工具检测+人工验证”相结合的方式，在保障检测准确性的同时提升效率，切实满足快速迭代中的合规要求。

对运营者而言，必须将合规置于产品发展的核心。建议从建立内部合规机制入手，系统贯彻“最小必要”原则，在信息收集前清晰完整告知用户，规范权限调用流程，严格审核并公示嵌入的第三方SDK，持续优化交互界面，切实保障用户知情权与选择权。唯有真正落实用户权益保护，才能在监管趋严的环境中稳健发展，赢得用户与市场的持久信任。

A sophisticated phishing campaign targeting Canadian citizens has emerged, using fake traffic ticket payment portals to steal personal and financial information. The attackers employ SEO poisoning techniques to manipulate search engine results, ensuring their fraudulent websites appear legitimate when users search for provincial traffic ticket payment options. These malicious portals convincingly impersonate official government websites […]

The post Beware of Fake Traffic Ticket Portals that Harvest Your PII and Credit Card Data appeared first on Cyber Security News.

行业实践

某省医疗器械质量监督检验研究院是国家药监局十大医疗器械检验检测中心之一，主要承担医疗器械新产品的注册检验、国家监督抽检、企业委托检验，并为企业和监管部门提供技术咨询与标准研究支持。其出具的检测报告是企业获取产品市场准入许可的重要依据。随着移动互联网技术在医疗器械领域的广泛应用，移动应用（如APP、小程序、物联网应用等）的安全与合规问题日益突出，已成为医疗器械网络安全的新焦点。该院在网络医疗器械安全检测方面具备显著优势，但在移动应用安全检测领域仍存在能力短板，亟需建立系统化的检测能力，以应对不断增长的安全风险与监管要求。

该院制定了以下战略目标：

补充能力短板：建立符合国家及行业标准的医疗器械移动应用（涵盖Android/iOS/小程序/鸿蒙NEXT/物联网应用等）批量化安全检测能力。

拓展服务范围：将移动应用安全检测纳入其核心服务，满足企业委托需求，并探索应用加固等增值服务。

提升营收能力：通过新增的安全检测与加固服务，创造新的业务增长点。

引领标准制定：为后续参与制定医疗器械移动应用安全相关的行业/国家标准积累实践经验和技术基础。

为实现上述目标，该院决定引入专业力量，经过评估，选择梆梆安全作为战略合作伙伴，为其提供移动应用安全检测与加固的核心技术平台及服务支持。

一 项目实施

梆梆安全帮助该院建立了全面覆盖主流移动平台Android应用、iOS应用、小程序、鸿蒙NEXT应用、物联网应用的移动应用安全能力体系。

自动化测评与加固平台

通过应用安全测评平台提供自动化、标准化的安全漏洞扫描与风险评估，严格对标权威漏洞库和行业规范；通过应用加固服务平台，为高风险应用提供专业的安全加固保护服务。

深度检测与闭环管理

对委托单位提交的移动应用（固件）进行深度安全检测（已完成超过40个固件、20个Android应用的测评），生成详细的安全测评报告，明确风险等级、位置、危害及修复建议。该院通过平台对整改应用进行复查，形成闭环管理。

服务落地与拓展

针对测评中发现的高风险应用，该院利用加固平台提供加固服务（已完成20个Android应用）。未来计划将测评与加固服务扩展至iOS、鸿蒙NEXT、物联网应用、小程序、H5等更多类型和来源的应用。

二 项目价值

本项目的成功实施，为该院及行业带来了多维度的重要价值：

（一）提升行业安全水位

为医疗器械生产企业提供了专业、权威的移动应用安全检测通道，系统性帮助发现和修复漏洞，增强APP防护能力，保障患者数据与设备安全。

（二）打造行业标杆

该项目是全国省级医疗器械检测机构中率先系统化开展移动应用安全检测的标杆，其建设模式、技术路径和运营经验为全国同行提供了宝贵的参考范本。

（三）创造经济效益

通过新增的安全检测与加固服务，该院成功开辟了新业务增长点，创造了新的营收来源，实现了社会效益与经济效益的双赢。

（四）夯实标准制定基础

基于项目积累的实践数据与经验，该院具备了牵头或深度参与制定医疗器械移动应用安全检测相关行业标准与技术规范的能力基础，对规范行业发展具有重大战略意义。

（五）增强机构综合实力

项目填补了该院在移动应用安全监管环节的能力空白，显著增强了其综合服务能力和市场竞争力，在引领行业检测方向、探索标准制定方面迈出了坚实一步。

在医疗行业加速推进数字化转型与智慧化升级的过程中，医疗器械移动应用的安全性、稳定性及合规性，直接关系到医疗数据资产保护、患者隐私安全与诊疗服务可靠性，是构建安全可信医疗生态的重要基础。梆梆安全围绕医疗行业强监管、重合规、高风险的特点，基于成熟的安全中台与深度的行业认知，为医疗器械研发、生产、检测及使用各方提供贯穿应用全生命周期的移动安全解决方案，助力医疗行业在合规可控的前提下稳步推进数字化进程，护航健康医疗数据价值安全释放。