文章总结： 本文汇总2026年3月全球数据安全动态，包括法国航母位置因运动应用泄露、美国医疗数据泄露影响超340万人、新型iPhone间谍软件Darksword攻击数亿设备等重大事件；同时通报国内工信部及多地通信管理局对违规APP的整治情况，并给出及时更新系统、规范数据收集等安全建议。 综合评分： 82 文章分类： 数据安全,移动安全,恶意软件,政策法规,漏洞预警

Data from Insight Hospital and Medical Center Leaked on Dark Web

4

移动互联网安全热点

4.1.国内移动互联网安全热点

4.1.1.工信部通报24款侵害用户权益APP及SDK，涉违规收集个人信息、窗口乱跳转等问题

工业和信息化部信息通信管理局发布2026年第2批（总第55批）《关于侵害用户权益行为的APP（SDK）通报》。近期，工信部组织第三方检测机构进行抽查，共发现24款APP及SDK存在侵害用户权益行为。被通报的应用主要涉及违规收集个人信息、APP强制/频繁/过度索取权限、窗口乱跳转、欺骗误导用户点击等典型问题。工信部要求相关APP及SDK按有关规定进行整改，整改落实不到位的将依法依规处置。

来源：

https://news.dayoo.com/society/202603/13/140000_54936061.htm

4.1.2.北京市通信管理局通报4款问题APP，涉违反必要原则收集个人信息

北京市通信管理局持续开展移动互联网应用程序隐私合规专项整治，近期通过抽测发现本市部分APP存在侵害用户权益问题。截至目前，尚有4款移动互联网应用程序未整改或整改不到位，主要涉及“违反必要原则收集个人信息”“未明示收集使用个人信息的目的、方式和范围”等问题，予以公开通报。

来源：

https://bjca.miit.gov.cn/index.html

4.1.3.美团就“删除用户手机里的图片和视频”致歉：波及范围约数百人，承担全部费用和损失

近日，多位安卓手机用户在社交媒体发帖反映，在使用美团App期间，手机收到图片和视频被异常删除的提示。有用户表示，手机系统检测到“美团”删除了图片和视频，部分用户尝试在“最近删除”中找回也无法恢复。美团官方客服对此事作出回应，称问题主要是安卓系统在极少数情况下，App自动缓存清理时遇到第三方SDK冲突导致异常，因路径识别出现偏差，误将用户相册目录当作缓存目录进行删除。

来源：

https://m.thepaper.cn/newsDetail_forward_32823655

4.1.4.浙江省通信管理局通报10款APP及小程序未按要求完成整改

浙江省通信管理局发布2026年第2批《关于侵害用户权益行为的APP（小程序）通报》。根据中央网信办、工信部等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》要求，浙江省通信管理局近期对群众关注的学习教育类、实用工具类等类型APP、小程序进行检查。经核查复检，尚有10款APP、小程序未按要求完成整改，涉及违规收集个人信息、超范围收集个人信息、APP频繁自启动和关联启动、欺骗误导强迫点击跳转等问题。

来源：

https://zjca.miit.gov.cn/zwgk/tzgg/art/2026/art_13fa283632d14dd79a0819cf838faa99.html

4.2.国外移动互联网安全热点

4.2.1.新型iPhone间谍软件“Darksword”大规模攻击数百万苹果设备

网络安全公司Lookout、iVerify及谷歌联合发布分析报告，披露一种名为“Darksword”的新型iPhone间谍软件。该恶意软件被植入数十个乌克兰网站，用户访问后即可被感染。研究人员发现，运行iOS 18.4至18.6.2版本的iPhone均存在被攻击风险，据估计仍有2.2亿至2.7亿部iPhone运行这些易受攻击的iOS版本。这是3月份发现的第二款针对iPhone的强力间谍软件（此前为“Coruna”），表明针对苹果设备的商业间谍软件市场正在蓬勃发展。Darksword能够窃取用户数据及加密货币钱包信息。研究人员建议用户及时更新iOS系统至最新版本。

来源：

https://ocacnews.net/article/423140

4.2.2.身份保护公司Aura遭钓鱼攻击，约90万条用户记录泄露

美国身份保护和数字安全公司Aura披露一起数据泄露事件，约90万条用户记录遭泄露。攻击者通过针对Aura员工的语音钓鱼（vishing）攻击，获取了未经授权的访问权限，入侵了某收购公司的营销数据库。泄露信息包括姓名、电子邮件地址、电话号码、家庭地址、IP地址及客服备注。Aura确认受影响用户中活跃客户不到2万、前客户不到1.5万，社会安全号码、密码、财务信息等核心数据未受影响。与此同时，安全研究公司Oversecured发布报告称，在17款热门Android AI伴侣应用中发现14个关键漏洞和311个高危问题，其中10款应用可泄露用户完整对话历史，6款可泄露包含性内容、心理健康等高度敏感的个人信息。

来源：

Aura Confirms Data Breach Affecting Over 900,000 Records Following Voice Phishing Attack

4.2.3.新型安卓恶意软件“Perseus”瞄准笔记应用，窃取密码与恢复短语

网络安全研究人员发现一种名为“Perseus”的新型安卓恶意软件，正通过伪装成盗版流媒体应用在非官方应用商店传播。该恶意软件基于Cerberus和Phoenix代码库构建，能够完全控制受感染设备，包括持续截图、键盘记录、发起覆盖攻击等。最不寻常的功能是主动扫描用户笔记应用，包括Google Keep、小米笔记、三星笔记、Microsoft OneNote等，窃取其中存储的密码、加密货币钱包恢复短语和财务数据。这是安全研究人员首次观察到安卓恶意软件主动针对个人笔记应用进行数据窃取。Perseus主要针对土耳其和意大利的金融机构及加密货币服务，能够绕过安卓13及以上版本的侧载限制。

来源：

https://x.threatbook.com/

*推荐阅读：*

预警！OpenClaw四大致命安全风险，装了就可能裸奔

爆火的OpenClaw到底是什么？30秒讲清它的“致命权限”

PIA标识| 第八批“PIA标识”名单-个人信息保护影响评估（PIA）专题工作

关于征集《电信领域数据安全服务机构能力要求》行业标准参编单位的通知

央视《焦点访谈》：“龙虾”热的“冷”思考

八问+一图，读懂《汽车数据出境安全指引（2026版）》

往期回顾

BREAK AWAY

AI聚力 智启新篇 安全同行|数据安全共同体计划成员大会（2025）成功召开

金灵光杯大赛 | 信息通信安全专题赛邀你参与

《数据安全产品目录（2025年版）》正式发布

数据安全共同体计划首批“绿色SDK”标识试点评估成果正式揭晓

DSMM评估认证 | 全面推动数据安全能力建设，筑牢创新发展基座

数据安全共同体计划

（data security community）

“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施，推动数据开发利用和数据安全领域的技术推广和产业创新，致力于促进数据安全产业链各环节的交流与合作，推动数据安全政策、技术、人才多要素良性互动，构建数据安全产业生态共同体。

咨询电话：

      曹京 (010) 5884 6840

      解伯延 18631643906

联系人邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数据安全共同体计划 《关注！数据安全新动态（2026年3月·下篇）》