梆梆安全的移动应用测评云平台能够帮助移动应用开发者对其APP进行全面的安全测评,测试包括自动和人工两种方式,测评项目包括安全检测、风险评估和漏洞扫描三类。测评结束后,开发者会获得一份安全测评报告,里面记录了每个测评项目的测评目的、测评项目可能产生的危害、测评项目的详细内容以及相应的解决方案。一般在自动测评方式下,开发者就可以获知当前应用所面临的主要安全问题,而人工测评方式由专业渗透和逆向测试工程师进行,能够帮助开发者对其应用进行更加全面和细致的安全测评。
移动应用的安全检测
安全检测可以帮助应用开发者检查其所开发应用APK的内部行为是否符合安全规范,一共会检测7个项目。
(1) 病毒检测,顾名思义就是检测APK是否含有病毒特征。
(2) 行为检测包括短信、彩信行为检测,上网行为检测,系统行为检测,安装卸载行为检测,隐私窃取行为检测,收藏夹检测,动态加载行为检测。
(3) 配置文件检测会分别对APK里的Receiver组件和Service组件进行检测。
(4) 权限检测主要是进行APK权限和冗余权限的检测。
(5) 词检测包含代码检测和资源检测两项。
(6) 广告检测主要测评APK里是否有广告内容。
(7) 动态检测主要是进行上网行为检测、本地配置文件读写检测、数据文件读写检测、SD卡文件读写检测、短信行为参数解析、彩信行为、加解密算法检测、反射类和方法调用检测以及隐私泄密。
以上这些安全检测可以提前帮助应用开发者发现其APP内部是否存在信息泄露、权限混乱等。而且这些检测项目都可以通过自动方式完成。
移动应用的风险评估
风险评估能够检测APK在实际应用中可能面临的外部风险,比如二次打包、反编译、数据泄漏等。风险评估包含41个测评项目,其中有9项可以通过自动方式完成,其余的项目则需要通过人工方式进行测评。
在可以自动测评的项目里,代码会检测JAVA层代码是否有、是否做过混淆、是否有调试符号;Java层调试会检测AndroidManifest中的调试标记;组件安全评估会检测AndroidManifest中的组件是否能够被导出;函数调用会检测APP中是否包含函数,例如短信操作、联系人操作等等;调试日志函数评估用于检测APP中是否有调试日志函数调用;动态调试可以检测APP是否可被动态调试,应用运行时是否可以被B工具挂接;动态注入可以检测APP是否可被动态注入;APP防评估则会检查应用的代码、资源文件、配置文件等被(如添加广告)后是否可以重新打包并正常运行;数字证书风险评估则是检测客户端是否包含存储的数字证书文件。
需要人工进行的风险评估包括加固壳识别、完整性校验、卸载清除、版本升级、登录控制、支付控制、支付密码设置、双因子认证、超时重新鉴权、密码强度、反编译防范、测试数据包含、安装包中信息加密、第三方SDK安全、信息显示、数据截获、密码专用键盘、未授权程序组件访问、数据存储、数据残留、远程数据传输保密性、交易通信完整性、日志信息、界面切换后信息需清空、通讯协议检测、双向认证、重放、转账安全性检测、界面劫持、截屏防范、远程数据传输保密性、交易通信完整性。
移动应用的漏洞扫描
漏洞扫描对于移动应用而言十分重要,漏洞扫描可以帮助开发者提前发现其APK里存在的安全漏洞,防止恶意者利用这些漏洞对应用发起。
由于漏洞扫描的专业性,所以目前只能自动检测程序代码内部是否残留测试使用的URL地址,以及应用是否使用了具有任意下载APK漏洞的友盟SDK版本。数据库注入、全局可读写内部文件、Webview远程代码执行、浏览器的Intent Scheme URL、手势密码绕过、被调用安装任意APK、被调用卸载任意APK、其他业务逻辑漏洞扫描则需要通过人工方式进行。
自动测评方式下单个APK包的检测时间不超过10分钟,而人工测试则会在2~3天内完成。如果开发者希望进行定制化的应用测评,可以单独提出申请。
招募:凡对梆梆安全移动应用测评感兴趣的用户,可发送邮件yi.联系相关工作人员。
网友评论 ()条 查看