Aggregator

A high-severity authentication bypass vulnerability affecting multiple Fortinet security products, including FortiOS, FortiProxy, and FortiPAM systems.  The flaw, designated as CVE-2024-26009 with a CVSS score of 7.9, enables unauthenticated attackers to seize complete control of managed devices through exploitation of the FortiGate-to-FortiManager (FGFM) communication protocol. Key Takeaways1. CVE-2024-26009 allows authentication bypass in Fortinet products.2. Attackers […]

The post FortiOS, FortiProxy, and FortiPAM Auth Bypass Vulnerability Allows Attackers to Gain Full Control appeared first on Cyber Security News.

依据《网络安全法》《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，70款移动应用存在违法违规收集使用个人信息情况，现通报如下：

1.在APP首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；隐私政策难以访问；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及13款移动应用如下：

《北斗伴》（版本v1.47，360手机助手）、《边锋斗地主》（版本V1.0.7.140，微信小程序）、《才能网》（版本6.2.8.3，360手机助手）、《兰湘子湘菜小炒》（微信小程序）、《老碗会点单+》（版本3.30.14，微信小程序）、《墨墨背单词》（版本V5.5.11（0839）RLC，PP助手）、《上海思极_Android_SDK》（版本2.8.4，官网）、《斯维登民宿公寓别墅预订》（版本1，微信小程序）、《速冲印》（版本v1.3.23，vivo应用商店）、《小厨娘淮扬菜》（微信小程序）、《元气SDK》（版本5.7.2，官网）、《云课堂 SDK》（版本6.39.4，官网）、《长安应用商店》（版本1.0.0.av，长安启源Q05预装应用）

2、隐私政策未逐一列出APP（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及38款移动应用如下：

《百家云Android点播回放core sdk》（版本3.22.2，官网）、《爆笑P图表情包DIY》（版本4.1.0，小米应用商店）、《北斗伴》（版本v1.47，360手机助手）、《才能网》（版本6.2.8.3，360手机助手）、《蝉妈妈》（版本4.18.2，华为应用市场）、《宠日常》（版本V26.3.0，抖音应用中心）、《对庄翡翠》（版本8.5.5，历趣市场）、《多多动画屋》（版本3.8.8.0_alipp，PP助手）、《好分数》（版本V4.31.55，应用宝）、《驾路通》（版本v5.6.7，抖音应用中心）、《江海锦龙综合版》（版本V9.00.91，百度手机助手）、《句读》（版本V5.0.7.1102，PP助手）、《开言英语》（版本8.2.9，应用宝）、《论文翻译助手》（版本3.5.12，vivo应用商店）、《猫箱》（版本1.51.0，抖音应用中心）、《妙趣P图》（版本3.2.1，小米应用商店）、《墨墨背单词》（版本V5.5.11（0839）RLC，PP助手）、《木屋外卖》（微信小程序）、《拍读英语》（版本5.7.9，当下软件园）、《人人租》（版本3.16.3，快手下载中心）、《上海思极_Android_SDK》（版本2.8.4，官网）、《神龙加速》（版本1.4.0，华为应用市场）、《石油商旅》（版本4.3.0，vivo应用商店）、《万达普惠》（版本25.07.3，华为应用市场）、《橡子星座》（版本V7.5.5，应用汇）、《小厨娘淮扬菜》（微信小程序）、《悬浮时钟》（版本1.4.4，搜狗下载）、《雪球基金》（版本7.66.0，华为应用市场）、《讯飞有声》（版本2.7.3201，PP助手）、《音乐多多》（版本1.0.7，百度手机助手）、《优健康》（版本8.4.5，豌豆荚）、《元贝驾考》（版本10.5.9.869，PP助手）、《元气SDK》（版本5.7.2，官网）、《圆周旅迹》（版本V3.1.9，360手机助手）、《云直播-推流 SDK》（版本2.7.1，官网）、《掌上公交》（版本7.1.6，豌豆荚）、《掌上华医》（版本V3.124.5，应用宝）、《臻好借》（版本9.0.5，小米应用商店）

3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。涉及17款移动应用如下：

《车轮》（版本10.0.8，豌豆荚）、《宠日常》（版本V26.3.0，抖音应用中心）、《多多动画屋》（版本3.8.8.0_alipp，PP助手）、《方舟健客网上药店》（版本6.42.0，OPPO软件商店）、《驾路通》（版本v5.6.7，抖音应用中心）、《句读》（版本V5.0.7.1102，PP助手）、《开言英语》（版本8.2.9，应用宝）、《美丽修行》（版本8.36.0，应用汇）、《妙趣P图》（版本3.2.1，小米应用商店）、《同城心动》（版本1.1.0，快手下载中心）、《涂鸦画图》（版本9.0.7，搜狗下载）、《万达普惠》（版本25.07.3，华为应用市场）、《讯飞有声》（版本2.7.3201，PP助手）、《元贝驾考》（版本10.5.9.869，PP助手）、《掌上公交》（版本7.1.6，豌豆荚）、《掌上华医》（版本V3.124.5，应用宝）、《臻好借》（版本9.0.5，小米应用商店）

4、未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限。涉及7款移动应用如下：

《寄信助手》（版本2.5.1，华为应用市场）、《兰湘子湘菜小炒》（微信小程序）、《老碗会点单+》（版本3.30.14，微信小程序）、《木屋外卖》（微信小程序）、《拍读英语》（版本5.7.9，当下软件园）、《万达普惠》（版本25.07.3，华为应用市场）、《音乐多多》（版本1.0.7，百度手机助手）

5、未提供有效的更正、删除个人信息及注销用户账号功能；虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内完成核查和处理。涉及5款移动应用如下：

《百家云Android点播回放core sdk》（版本3.22.2，官网）、《斯维登民宿公寓别墅预订》（微信小程序）、《云课堂 SDK》（版本6.39.4，官网）、《云直播-推流 SDK》（版本2.7.1，官网）、《众创指购会员》（版本4.7.3.0515，豌豆荚）

6、投诉、举报未在承诺时限内受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。涉及7款移动应用如下：

《91桌面》（版本10.5.2，搜狗下载）、《宠日常》（版本V26.3.0，抖音应用中心）、《句读》（版本V5.0.7.1102，PP助手）、《上海思极_Android_SDK》（版本2.8.4，官网）、《神龙加速》（版本1.4.0，华为应用市场）、《斯维登民宿公寓别墅预订》（微信小程序）、《烟台银行市民e贷》（版本v2.4.1.0(acc94934)，微信小程序）

7、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。涉及28款移动应用如下：

《北斗伴》（版本v1.47，360手机助手）、《才能网》（版本6.2.8.3，360手机助手）、《车轮》（版本10.0.8，豌豆荚）、《宠日常》（版本V26.3.0，抖音应用中心）、《对庄翡翠》（版本8.5.5，历趣市场）、《多多动画屋》（版本3.8.8.0_alipp，PP助手）、《方舟健客网上药店》（版本6.42.0，OPPO软件商店）、《好分数》（版本V4.31.55，应用宝）、《寄信助手》（版本2.5.1，华为应用市场）、《开言英语》（版本8.2.9，应用宝）、《口袋冲印》（版本V2.6.1(81)，vivo应用商店）、《论文翻译助手》（版本3.5.12，vivo应用商店）、《猫箱》（版本1.51.0，抖音应用中心）、《墨墨背单词》（版本V5.5.11（0839）RLC，PP助手）、《人人租》（版本3.16.3，快手下载中心）、《石油商旅》（版本4.3.0，vivo应用商店）、《速冲印》（版本v1.3.23，vivo应用商店）、《涂鸦画图》（版本9.0.7，搜狗下载）、《烟台银行市民e贷》（版本v2.4.1.0(acc94934)，微信小程序）、《音乐多多》（版本1.0.7，百度手机助手）、《优健康》（版本8.4.5，豌豆荚）、《圆周旅迹》（版本V3.1.9，360手机助手）、《云课堂 SDK》（版本6.39.4，官网）、《长隆旅游》（版本Version7.9.3，360手机助手）、《掌上公交》（版本7.1.6，豌豆荚）、《掌上华医》（版本V3.124.5，应用宝）、《臻好借》（版本9.0.5，小米应用商店）、《众创指购会员》（版本4.7.3.0515，豌豆荚）

8、通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。涉及2款移动应用如下：

《句读》（版本V5.0.7.1102，PP助手）、《雪球基金》（版本7.66.0，华为应用市场）

9、处理敏感个人信息未取得个人的单独同意。涉及1款移动应用如下：

《万达普惠》（版本25.07.3，华为应用市场）

10、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及12款移动应用如下：

《边锋斗地主》（版本V1.0.7.140，微信小程序）、《费大厨辣椒炒肉会员》（微信小程序）、《兰湘子湘菜小炒》（微信小程序）、《老碗会点单+》（版本3.30.14，微信小程序）、《墨墨背单词》（版本V5.5.11（0839）RLC，PP助手）、《木屋外卖》（微信小程序）、《陶味茶楼》（微信小程序）、《天津鲁能城购物中心》（微信小程序）、《万达普惠》（版本25.07.3，华为应用市场）、《橡子星座》（版本V7.5.5，应用汇）、《小厨娘淮扬菜》（微信小程序）、《云课堂 SDK》（版本6.39.4，官网）

11、收集个人信息的频度等超出业务功能实际需要。涉及1款移动应用如下：

《音乐多多》（版本1.0.7，百度手机助手）

12、未采取相应的加密、去标识化等安全技术措施。涉及31款移动应用如下：

《爆笑P图表情包DIY》（版本4.1.0，小米应用商店）、《蝉妈妈》（版本4.18.2，华为应用市场）、《大悦城商场JOYCITY》（版本1.0.47，微信小程序）、《对庄翡翠》（版本8.5.5，历趣市场）、《费大厨辣椒炒肉会员》（微信小程序）、《寄信助手》（版本2.5.1，华为应用市场）、《肯德基》（版本6.23.0，OPPO软件商店）、《口袋冲印》（版本V2.6.1(81)，vivo应用商店）、《兰湘子湘菜小炒》（微信小程序）、《老碗会点单+》（版本3.30.14，微信小程序）、《美丽修行》（版本8.36.0，应用汇）、《木屋外卖》（微信小程序）、《拍读英语》（版本5.7.9，当下软件园）、《朴朴超市》（版本5.6.4，华为应用市场）、《人人租》（版本3.16.3，快手下载中心）、《首旅如家酒店集团》（微信小程序）、《斯维登民宿公寓别墅预订》（微信小程序）、《速冲印》（版本v1.3.23，vivo应用商店）、《陶味茶楼》（微信小程序）、《天津鲁能城购物中心》（微信小程序）、《同城心动》（版本1.1.0，快手下载中心）、《香格里拉会官方预订》（版本10.0.02，微信小程序）、《小厨娘淮扬菜》（微信小程序）、《悬浮时钟》（版本1.4.4，搜狗下载）、《优健康》（版本8.4.5，豌豆荚）、《圆周旅迹》（版本V3.1.9，360手机助手）、《长隆旅游》（版本Version7.9.3，360手机助手）、《掌上公交》（版本7.1.6，豌豆荚）、《臻好借》（版本9.0.5，小米应用商店）、《众创指购会员》（版本4.7.3.0515，豌豆荚）、《洲际酒店集团IHG优悦会》（微信小程序）

13、没有关闭标志或者计时结束才能关闭广告。涉及2款移动应用如下：

《上海思极_Android_SDK》（版本2.8.4，官网）、《元气SDK》（版本5.7.2，官网）

14、无隐私政策。涉及5款移动应用如下：

《车辆中心》（版本1.6.0.y，长安启源Q05预装App）、《酷咖游戏》（版本1.5.2，长安启源Q05应用商店）、《麻将》（版本1.1.8.k，长安启源Q05应用商店）、《音乐》（版本5.5，长安启源Q05预装App）、《中国象棋》（版本1.0.0.u，长安启源Q05应用商店）

上期通报的国家计算机病毒应急处理中心检测发现的68款违法违规移动应用，经复测仍有25款存在问题，相关移动应用分发平台已予以下架。

（注：文中所列移动应用检测时间为2025年7月2日至2025年7月29日）

来源：国家网络安全通报中心

此次通报的70款违法违规收集使用个人信息的移动应用覆盖范围广、问题类型多，暴露出当前APP生态中严峻的合规漏洞，值得大家高度警惕。在监管利剑高悬、用户隐私意识觉醒的当下，粗放的数据处理模式已走到尽头，企业亟需将合规内嵌于产品开发全流程，确保政策透明、权限合理、授权明确，对敏感数据严防泄露风险，同时构建常态化、持续化的安全合规机制。

梆梆安全依托十余年深耕移动安全领域的技术沉淀与实践经验，系统性搭建了专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业高效构建合规防线。

Authorities in Saint Paul, Minnesota, are still grappling with the aftermath of a cyberattack that crippled large portions of the city’s municipal operations. Responsibility for the incident has been claimed by the hacking group...

The post Saint Paul Cyberattack Disrupts City, Interlock Ransomware Group Claims 43GB Data Theft appeared first on Penetration Testing Tools.

U.S. authorities have disclosed the details of a July operation against the BlackSuit ransomware syndicate, a coordinated strike that dismantled the group’s infrastructure and seized its digital assets. On July 24, in an internationally...

The post Law Enforcement Dismantles BlackSuit Ransomware, Seizing Servers and $1M in Crypto appeared first on Penetration Testing Tools.