来源:内蒙古信息港 日期:2014-12-02
在这个移动的时代里,琳琅满目的各类应用在不断的诱惑着人们,但不断涌现的应用安全问题也使得人们的信息时刻面临泄漏风险。开发者们辛苦打造的精品应用却存在未知的安全风险,这将大大影响用户对应用的下载与使用。能在开发交付之前就先发现应用中所潜藏的安全隐患么?
CNNIC发布的数据显示2014上半年中国手机网民数量达5.27亿,由此引发的移动安全问题也日益凸显,特别是在第一大移动操作系统平台安卓中,安装包逆向反编译、恶意代码注入、二次打包的盗版应用、界面劫持、短信劫持、隐私窃取等不仅会导致用户数据泄漏,而且使得正版应用遭遇信任危机,开发者的知识版权等合法权益无法得到保证。
手机应用安全问题正在成为开发者们心中永远的痛,这也是整个应用市场发展所面临的重要问题。而手机应用安全的专业性,使得普通开发者无法全面了解APK中的安全漏洞和风险,难以对手机应用的安全性作出深入评估分析,以期交付给用户一个安全可靠的APP。在安全人才短缺的今天,移动应用的专属安全工程师更是属于“珍惜生物”行业。如何解决移动应用的安全审查难题?这个问题的破局者就是梆梆安全为开发者推出的针对Android系统的手机应用安全测评系统。该系统能够帮助开发者对手机进行全面安全测试评估,使开发者了解其应用中存在的安全问题,并且提出解决方案,帮助开发者提前规避应用中可能存在的安全隐患。
梆梆安全所开发的移动应用安全测评系统以多个安全机构所发布的安全规范(如,《信息安全技术 公共及商用服务信息系统个人信息保护指南》、《电子银行安全评估指引》、《移动互联网应用软件安全评估大纲》等)作为测评的主要标准,并结合了梆梆安全多年所累积的Android平台应用安全分析经验,可以对Android平台应用进行全方面的安全性测试评估,测评项目涵盖目前Android平台上各种主流的安全风险和漏洞。
梆梆安全的移动应用测评系统为开发者提供安全检测、风险评估和漏洞扫描三类测评表项。
安全检测主要查看APK应用内部行为是否符合安全规范,防范这些内部行为所可能导致的信息泄露、权限混乱等问题。包含病毒检测、敏感行为检测、配置文件检测、权限检测、敏感词检测等25项测评项目。
风险评估主要检测APK当前实现所可能面临的外部攻击风险,此类风险是目前APK应用环境中常见的安全隐患,可以利用其进行二次打包、盗取敏感数据等非法操作。风险评估包含加固壳识别、代码保护、Java层调试、组件安全、敏感函数调用等41项测评项目。
漏洞扫描则会分析APK在业务实现中可被利用的技术漏洞,如数据库注入、webview远程代码执行、业务逻辑漏洞等,黑客可以通过这些漏洞直接对应用进行攻击,实现越权操作进而破坏应用。
梆梆安全移动应用测评系统完全针对于Android系统中的应用程序本身,而且可以根据用户级别提供自动测评和人工测评两种服务模式。
在自动测评服务模式下,开发者只需将其APK文件提交至测评系统,测评系统将会自动开始对APK主要安全指标进行测评,例如应用使用是否存在冗余权限、敏感词和广告,是否存在反编译、二次打包风险,是否存在数据库注入漏洞等。测评结果包括每个测评项目的检测目的、测评项目可能产生的危害、测评项目的详细内容以及相应的解决方案。通过自动化测评,开发者可以获取当前应用面临的主要安全问题。自动测评的响应时间根据所提交的APK包大小有所差异,理论上单个APK包检测时间不超过10分钟,该系统可以满足即时测评、即时得出报告的要求。
由于技术限制,目前Android平台上存在的部分问题无法通过自动模拟的方式实现,例如界面劫持风险、双因子认证风险、第三方SDK风险、webview远程代码执行漏洞等,所以需要专业的渗透和逆向测试工程师为开发者提供人工测评项目。人工测评包含了自动测评以及需要人工介入的所有项目,开发者只需要在系统中向梆梆安全提交人工测评申请即可。专业渗透测试工程师将会进行全面的安全测评,或根据用户特定需求进行定制测评。人工测评的响应时间根据所提交的APK包大小和业务逻辑,所需要的时间也不同。通过该测评系统提交人工测评申请,可以在2~3天内完成所有人工测试,并且交付全面的正式测评报告。
招募:凡对梆梆安全移动应用测评感兴趣的用户,可以拨打电话以及发送邮件yi.wan@secneo.com联系相关工作人员。
网友 | 评论 | 评论时间 | ||||
|