Aggregator

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（0803-0816）

●最新监管动态

监管通报动态

●监管支撑汇总

梆梆安全监管支撑数据

国家监管数据分析

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的APP类型分析 

01 最新监管动态

1. 监管通报动态

8月3日，北京通管局依据相关法律法规的要求，持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前，尚有20款移动互联网应用程序未整改或整改不到位，现予以公开通报。7月3日，北京通管局通报存在侵害用户权益行为的移动互联网应用程序（2025年第六期）。截至目前，仍有12款移动互联网应用程序未整改或整改不到位，现予以全网下架处置。

8月4日，工信部依据相关法律法规的要求，对APP、SDK进行检查，共发现23款APP及SDK存在侵害用户权益行为。上述APP应限期落实整改要求。逾期不整改的，工信部将依法依规组织开展相关处置工作。

8月4日，青海通管局依据相关法律法规的要求，持续开展APP侵害用户权益专项整治行动。截至目前，仍有9款APP未完成整改工作，上述APP开发运营者应限期落实整改，逾期未完成整改的，青海通管局将依法依规进行处置。

8月5日，安徽通管局依据相关法律法规的要求，持续开展APP侵害用户权益专项整治行动。截至目前，尚有5款APP（2025年第五批次）逾期未完成整改，安徽通管局对上述APP进行下架。

8月5日，上海通管局依据相关法律法规的要求，持续整治APP（SDK）侵害用户权益的违规行为。截至目前，共发现145款APP（SDK）存在侵害用户权益行为。上述APP应限期落实整改要求。逾期不整改的，上海管局将依法依规给予处理。

8月13日，国家计算机病毒应急处理中心依据相关法律法规，检测发现70款移动应用存在违法违规收集使用个人信息情况。上期通报的病毒处理中心检测发现的68款违法违规移动应用，经复测仍有25款存在问题，相关移动应用分发平台已予以下架。

8月15日，青海通管局依据相关法律法规的要求，持续开展APP（含小程序）侵害用户权益专项整治行动。经核查复检，仍有8款APP未完成整改工作，青海通管局予以下架处置。

02 监管支撑汇总

1. 梆梆安全监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及TOP3问题数据两方面来说明。

1)问题行业TOP1：

学习教育类

2)隐私合规问题TOP3：

TOP1：164号文5 APP强制、频繁、过度索取权限；

TOP2：164号文1 违规收集个人信息；

TOP3：164号文6 APP频繁自启动和关联启动。

2. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

针对国家近两周监管通报数据，依据APP类型，统计出现通报的APP数量如下：

03 漏洞风险分析

从全国的Android APP中随机抽取了3,535款进行漏洞检测发现，存在中高危漏洞威胁的APP为2,752个，即77.85%以上的App存在中高危漏洞风险。而这2,752款漏洞应用中，有高危漏洞的应用共2,067款，占比75.11%，有中危漏洞的应用共2,678款，占比97.31%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的App占比如下：

各漏洞类型占比分析

对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示：

存在漏洞的APP类型分析

从APP类型来看，实用工具类APP存在漏洞风险最多,占漏洞APP总量的19.38%，其次为教育学习类APP，占比13.49%，生活服务类APP位居第三，占比10.69%，漏洞数量排名前十的类型如下图所示：

篇首语：关于OSINT开源情报的概念，早已在信息安全圈里展开多年，很多安全技术部门、深挖黑灰产的企业威胁情报部门，安全研究员及技术爱好者们，都在通过各种方式检索、学习国内外的最新信息、技术和工具，及跨平台交流。

而随着近些年市场需求的快速增长，加上国内专业情报与咨询公司的陆续出现，OSINT开源情报技术也开始进入一个飞速发展的阶段。

经过多年的筹备，为了应对不断变化的商业安全态势，今天，RC²正式推出全新课程：

「OSINT商战情报官认证课程」~~

1、什么是OSINT？

相信很多朋友在一些会议现场，都听到过关于OSINT开源情报的介绍，但大部分演讲者分享的都是关于某些企业内部平台、商业平台或自动化工具的介绍，对于具体的技术都是一带而过。

那么，到底什么是OSINT呢？

OSINT，全称：Open-Source Intelligence，即开源情报搜集。以下引用百度百科内容：

开源情报搜集，是一种通过公开渠道获取并分析信息的情报收集手段，其定义为“面向特定需求，从公开信息中及时收集、开发和传播的情报”。

公开信息源包括新闻报道、学术论文、社交媒体平台资讯、采购招标文件及卫星图像等，经整理分析可提取关键领域情报。

去年，美国国家情报总监办公室（ODNI）和中央情报局（CIA）发布了《2024-2026 年情报部门OSINT战略》。

如上图，在该报告扉页，中央情报局局长William J. Burns 写道：

“作为情报部门 OSINT 职能负责人，我深知开源情报在捍卫我们的国家和价值观方面发挥着至关重要的作用。从运营分析到政策会议，开源情报几乎为美国面临的所有重大问题上的高层决策者提供决策依据。

在这个关键时刻，开源情报的重要性与需求也日益增长，制定一个覆盖整个情报部门的开源情报战略，对于帮助情报部门以协调一致、坚定不移的方式向前发展至关重要。

这一战略将帮助我们履行职责，并进一步增强OSINT对国家安全的巨大影响。”

嗯，再结合下RC²自身的例子：

回想2016年，RC²反窃密实验室成立之初，面对的情况就是国内互联网上如同白纸般无任何现成反窃密技术资料可学习的处境。

即使开展了为期三个月的全国性市场调研，也不过发现99%的行业公司都是以销售设备为主，几乎无人在技术上有专门的研究投入，而且全国能够持有全套专业检测装备的商业团队数量更是少得不到一只手......太难了

无奈之下，杨叔只能延续在十多年信息安全从业养成的习惯，先建立威胁情报小组，同步分析TSCM技术路线图，将里面大部分的技术难点标识出来，再开始大批量的数据检索翻译分析，然后逐步开展研究和实验......经过近一年的准备，才推出了前两门基础课程：

Level-1与Level-2 商业秘密&隐私保护课程

2、OSINT对RC²的意义

RC²成立至今已有九年，有个非常重要的核心技术储备，就是这些年来的行业开源情报储备。大量半公开信息和资料的检索、翻译和归类，比如合计近万页的涉及五种以上语言的技术资料、书籍、内部标准与体系资料等，协助RC²积累了非常全面的TSCM行业数据，也是RC²开启内部研究计划的主要依据。

为了让学员开始逐步理解TSCM体系，RC²将其中很多成果，分享在不同级别的TSCM专业课程中，比如：

LEVEL-2 商业秘密&隐私保护课程

作为RC²课程体系的基础课程，会通过威胁情报资料来讲述“TSCM”这个词的来源、背后故事及当前发展态势，并结合不断更新的真实商业窃密案例分析，来培养学员的商业反窃密检测基础。

杨叔TIPS：说到这里，杨叔一直觉得好笑的是：

Level-2课程只是揭开了TSCM技术体系的冰山一角，只有开始学习PPES系列课程才算进入真正的技术专家之路。而有那么几位仅仅参加过Level-2课程的学员，现已堂而皇之一边抄袭一边四处标榜自己是“TSCM专家”，真是让人哭笑不得~

......要知道，这样具备初级L2水平的学员，RC²已培养了四位数之多，而且课程内容一直在升级迭代中......更不用提，有的同学甚至已拿到好几个中高级PPES专家证书~

咳咳，欢迎新同学报名最新一期课程：

深圳，2025.09.13--09.14，Level-2课程

那些希望成为TSCM专家的中高级学员，会在进阶的PPES系列专家课程中，专注于某个具体技术领域的深入学习，比如：

PPES-101 固定电话反窃听检测专项课

课程会带领中高级学员从最早期的电话窃听案例里了解话机窃听原理，再逐步到现代IP电话窃听案件中的技术变化、威胁态势，加强对于酒店电话及企业IP电话的安全防护意识，并学习多种专业设备开展电话线路检测。

再比如2025新推出的专业课程（预计10月份正式发布）：

PPES-109 强弱电线路安全检测专项课

课程里，高级学员们会从上百页的PPT里，先了解前东德SATSI等情报机构部署的线路监视器材及原理，再学习如何检测现代线路监视器材，通过RC²积累的大量技术威胁情报和亲自上手的模拟检测实验，可以清晰地感受到真正TSCM检测专家面临的挑战。

而在同样新推出的：

PPES-201 智能手机隐私保护实践课

课程会向高级学员展示作为高净值个体，到底会面对哪些手机监听技术风险？通过威胁情报不断更新的真实案例中，及对攻击细节的描述，来协助学员理解风险并学习应对防御。

至于仅面向大型企业，培养专业TSCM检测团队的：

PPES-X 物理安全检测专家

专家团队课程中，更设置了全面深入的TSCM行业威胁情报课程，来协助学员们快速了解全球TSCM行业体系、国际标准、检测设备厂商资料、专业服务公司背景、行业协会、TS器材威胁等等，内容复杂，就不一一举例了。

最后，在「RC²内部威胁情报研究项目」中，每年都聚焦在更加深入的实战检测技术细节上，并在不断探索中，以及与不同行业不同国家的各类专家交流，来寻求更多技术盲区的答案。感兴趣可以私聊：）

PS：在杨叔看来，越研究越发现技术的颗粒度越多，也越觉得自身能力的不足，与其自己随意加个头衔YY，杨叔更相信唯有通过庞大的资料储备、实验研究与项目积累，才能慢慢成为业内认可的TSCM Specialist。

至少，杨叔在去年收到意大利TSCM协会会长主动颁发的“TSCM MASTER大师级证书”时，收到这位近70岁在冷战时期就从事TSCM的老专家认同，以及专门发的祝贺邮件来表示对RC²这些年来技术储备的鼓励，还是感动+惭愧不如的。

RC²反窃密实验室推出的这一套OSINT实用课程体系，完全基于标准化OSINT知识体系，通过RC²多年来自身需求驱动与在商业反窃密领域的积累和钻研，结合商业秘密保护行业真实案例，不断学习与总结而成的，独有的OSINT商战情报官课程~

感谢一直以来支持RC²的各大企业团队学员和数千位老学员们，老规矩，老学员上新课依旧福利满满哦~

也欢迎更多新同学们~

第一期小班课，仅限4~8人，限时优惠中~

抓紧时间占座哟，手快有手慢无，立刻扫码联系客服吧~

The U.S. District Court for the Eastern District of New York has unsealed a superseding indictment against a Ukrainian national, charging him with his alleged role as an administrator in the LockerGoga, MegaCortex, and Nefilim ransomware operations. The schemes reportedly extorted over 250 companies in the United States and hundreds more across the globe, causing […]

The post Authorities Arrested Admins Of “LockerGoga,” “MegaCortex,” And “Nefilim” Ransomware Gangs appeared first on Cyber Security News.