CTI論壇(ctiforum)12月3日消息(記者 李文杰):在這個(gè)移動(dòng)的時(shí)代里,琳瑯滿(mǎn)目的各類(lèi)應用在不斷的誘惑著(zhù)人們,但不斷涌現的應用安全問(wèn)題也使得人們的信息時(shí)刻面臨泄漏風(fēng)險。開(kāi)發(fā)者們辛苦打造的精品應用卻存在未知的安全風(fēng)險,這將大大影響用戶(hù)對應用的下載與使用。能在開(kāi)發(fā)交付之前就先發(fā)現應用中所潛藏的安全隱患么?
CNNIC發(fā)布的數據顯示2014上半年中國手機網(wǎng)民數量達5.27億,由此引發(fā)的移動(dòng)安全問(wèn)題也日益凸顯,特別是在第一大移動(dòng)操作系統平臺安卓中,安裝包逆向反編譯、惡意代碼注入、二次打包的盜版應用、界面劫持、短信劫持、隱私竊取等不僅會(huì )導致用戶(hù)數據泄漏,而且使得正版應用遭遇信任危機,開(kāi)發(fā)者的知識版權等合法權益無(wú)法得到保證。
手機應用安全問(wèn)題正在成為開(kāi)發(fā)者們心中永遠的痛,這也是整個(gè)應用市場(chǎng)發(fā)展所面臨的重要問(wèn)題。而手機應用安全的專(zhuān)業(yè)性,使得普通開(kāi)發(fā)者無(wú)法全面了解APK中的安全漏洞和風(fēng)險,難以對手機應用的安全性作出深入評估分析,以期交付給用戶(hù)一個(gè)安全可靠的APP。在安全人才短缺的今天,移動(dòng)應用的專(zhuān)屬安全工程師更是屬于“珍惜生物”行業(yè)。如何解決移動(dòng)應用的安全審查難題?這個(gè)問(wèn)題的破局者就是梆梆安全為開(kāi)發(fā)者推出的針對Android系統的手機應用安全測評系統。該系統能夠幫助開(kāi)發(fā)者對手機進(jìn)行全面安全測試評估,使開(kāi)發(fā)者了解其應用中存在的安全問(wèn)題,并且提出解決方案,幫助開(kāi)發(fā)者提前規避應用中可能存在的安全隱患。
梆梆安全所開(kāi)發(fā)的移動(dòng)應用安全測評系統以多個(gè)安全機構所發(fā)布的安全規范(如,《信息安全技術(shù) 公共及商用服務(wù)信息系統個(gè)人信息保護指南》、《電子銀行安全評估指引》、《移動(dòng)互聯(lián)網(wǎng)應用軟件安全評估大綱》等)作為測評的主要標準,并結合了梆梆安全多年所累積的Android平臺應用安全分析經(jīng)驗,可以對Android平臺應用進(jìn)行全方面的安全性測試評估,測評項目涵蓋目前Android平臺上各種主流的安全風(fēng)險和漏洞。
梆梆安全的移動(dòng)應用測評系統為開(kāi)發(fā)者提供安全檢測、風(fēng)險評估和漏洞掃描三類(lèi)測評表項。
安全檢測主要查看APK應用內部行為是否符合安全規范,防范這些內部行為所可能導致的信息泄露、權限混亂等問(wèn)題。包含病毒檢測、敏感行為檢測、配置文件檢測、權限檢測、敏感詞檢測等25項測評項目。
風(fēng)險評估主要檢測APK當前實(shí)現所可能面臨的外部攻擊風(fēng)險,此類(lèi)風(fēng)險是目前APK應用環(huán)境中常見(jiàn)的安全隱患,可以利用其進(jìn)行二次打包、盜取敏感數據等非法操作。風(fēng)險評估包含加固殼識別、代碼保護、Java層調試、組件安全、敏感函數調用等41項測評項目。
漏洞掃描則會(huì )分析APK在業(yè)務(wù)實(shí)現中可被利用的技術(shù)漏洞,如數據庫注入、webview遠程代碼執行、業(yè)務(wù)邏輯漏洞等,黑客可以通過(guò)這些漏洞直接對應用進(jìn)行攻擊,實(shí)現越權操作進(jìn)而破壞應用。
梆梆安全移動(dòng)應用測評系統完全針對于A(yíng)ndroid系統中的應用程序本身,而且可以根據用戶(hù)級別提供自動(dòng)測評和人工測評兩種服務(wù)模式。
在自動(dòng)測評服務(wù)模式下,開(kāi)發(fā)者只需將其APK文件提交至測評系統,測評系統將會(huì )自動(dòng)開(kāi)始對APK主要安全指標進(jìn)行測評,例如應用使用是否存在冗余權限、敏感詞和廣告,是否存在反編譯、二次打包風(fēng)險,是否存在數據庫注入漏洞等。測評結果包括每個(gè)測評項目的檢測目的、測評項目可能產(chǎn)生的危害、測評項目的詳細內容以及相應的解決方案。通過(guò)自動(dòng)化測評,開(kāi)發(fā)者可以獲取當前應用面臨的主要安全問(wèn)題。自動(dòng)測評的響應時(shí)間根據所提交的APK包大小有所差異,理論上單個(gè)APK包檢測時(shí)間不超過(guò)10分鐘,該系統可以滿(mǎn)足即時(shí)測評、即時(shí)得出報告的要求。
由于技術(shù)限制,目前Android平臺上存在的部分問(wèn)題無(wú)法通過(guò)自動(dòng)模擬的方式實(shí)現,例如界面劫持風(fēng)險、雙因子認證風(fēng)險、第三方SDK風(fēng)險、webview遠程代碼執行漏洞等,所以需要專(zhuān)業(yè)的滲透和逆向測試工程師為開(kāi)發(fā)者提供人工測評項目。人工測評包含了自動(dòng)測評以及需要人工介入的所有項目,開(kāi)發(fā)者只需要在系統中向梆梆安全提交人工測評申請即可。專(zhuān)業(yè)滲透測試工程師將會(huì )進(jìn)行全面的安全測評,或根據用戶(hù)特定需求進(jìn)行定制測評。人工測評的響應時(shí)間根據所提交的APK包大小和業(yè)務(wù)邏輯,所需要的時(shí)間也不同。通過(guò)該測評系統提交人工測評申請,可以在2~3天內完成所有人工測試,并且交付全面的正式測評報告。
