APP安全檢測方式都有哪些?
隨著無線網絡和移動通信技術的發展,智能手機功能日趨強大,因此也將APP市場帶動了起來。但是隨著手機操作系統日益標準化,網絡攻擊手段不同往日,黑客已經可以像攻擊電腦信息系統一樣針對手機系統發起攻擊,同時,APP的特點使其同時暴露在眾多的網絡安全風險和威脅之下,容易遭受到病毒、木馬、蠕蟲等惡意程序的攻擊。
APP通報事件不斷,引起了相關部門的重視,下令整改難免給通報企業帶來壓力,網絡安全警鐘再次敲響。
當今社會多數人手機不離身,我們無時不刻不在使用APP,那么它真的安全嗎?這是APP開發商應該為自身企業和用戶考慮的問題。
移動應用和信息系統一樣,會存在安全隱患,只是有待APP開發商發現,而發現安全風險的最好辦法就是對目標應用定期進行安全檢測。因此建議APP開發商在應用開發生命周期里,對APP安全做一下檢測,及時發現APP的安全漏洞和程序存在的缺陷問題,從而降低安全風險和損失。
那么有關APP安全檢測的方式都有哪些?
1. 漏洞掃描
基于漏洞數據庫,通過自動化工具掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測。發現可利用漏洞的一種安全檢測行為。
2. 滲透測試
由具備高技能和高素質的安全服務人員發起、并模擬常見黑客所使用的攻擊手段對目標系統進行模擬入侵。
圖2 滲透測試流程
3. 代碼審計
由具備豐富編碼經驗并對安全編碼原則及應用安全具有深刻理解的安全服務人員,對系統的源代碼和軟件架構的安全性、可靠性進行全面的安全檢查。
圖3 代碼審計流程
4. 安全加固
移動應用安全加固包括Android應用加固、iOS應用加固、游戲應用加固、H5文件加固、微信小程序加固、SDK加固、so文件加固和源對源混淆加固技術,從根本上解決移動應用的安全缺陷和風險,使加固后的移動應用具備防逆向分析、防二次打包、防動態調試、防進程注入、防數據篡改等安全保護能力。
5. 安全配置檢查
針對IT范圍內,漏洞掃描工具不能有效發現的方面(網絡設備的安全策略弱點和部分主機的安全配置錯誤等)進行安全輔助的一種有效評估手段。
6. App違法違規收集使用個人信息合規評估
從APP運營者和監管部門角度出發,多方面對個人信息的收集、使用、存儲、傳輸、行為和權利保障等多個方面,嚴格按照國家標準規范和監管發文,對移動應用進行全面合規檢查,率先將監管檢測要求運用到合規評估服務中,強制授權、過度索權、不給權限不讓用、私自收集使用個人信息等,為企業和機構提供面向移動應用程序的全方位合規評估。
圖5 App違法違規收集使用個人信息合規評估流程
APP安全檢測主要面向主流手機操作系統(包括但不限于:Android,IOS,Windows Phone,Symbian,Java等)上開發的移動應用。檢測范圍覆蓋手機端應用程序及文件,服務器端承載環境及處理邏輯及手機端與服務端的網絡通訊。
近期APP違法違規收集使用個人信息通報較多,APP無安全評估報告不給上架的情況也較為常見。隨著移動應用市場應用的增多,相關部門也因此加大監管力度。為確保APP的安全性與合規性,有必要對其實施有效的安全評估。
諸多種安全檢測方式,企業可根據自身需求選擇合適的評估手段,以便通過上架審查。
