你的移動應(yīng)用安全么？讓梆梆安全來幫你

　　CTI論壇（ctiforum）12月3日消息（記者 李文杰）：在這個(gè)移動的時(shí)代里，琳瑯滿目的各類應(yīng)用在不斷的誘惑著人們，但不斷涌現(xiàn)的應(yīng)用安全問題也使得人們的信息時(shí)刻面臨泄漏風(fēng)險(xiǎn)。開發(fā)者們辛苦打造的精品應(yīng)用卻存在未知的安全風(fēng)險(xiǎn)，這將大大影響用戶對應(yīng)用的下載與使用。能在開發(fā)交付之前就先發(fā)現(xiàn)應(yīng)用中所潛藏的安全隱患么？

　　CNNIC發(fā)布的數(shù)據(jù)顯示2014上半年中國手機(jī)網(wǎng)民數(shù)量達(dá)5.27億，由此引發(fā)的移動安全問題也日益凸顯，特別是在第一大移動操作系統(tǒng)平臺安卓中，安裝包逆向反編譯、惡意代碼注入、二次打包的盜版應(yīng)用、界面劫持、短信劫持、隱私竊取等不僅會導(dǎo)致用戶數(shù)據(jù)泄漏，而且使得正版應(yīng)用遭遇信任危機(jī)，開發(fā)者的知識版權(quán)等合法權(quán)益無法得到保證。

　　手機(jī)應(yīng)用安全問題正在成為開發(fā)者們心中永遠(yuǎn)的痛，這也是整個(gè)應(yīng)用市場發(fā)展所面臨的重要問題。而手機(jī)應(yīng)用安全的專業(yè)性，使得普通開發(fā)者無法全面了解APK中的安全漏洞和風(fēng)險(xiǎn)，難以對手機(jī)應(yīng)用的安全性作出深入評估分析，以期交付給用戶一個(gè)安全可靠的APP。在安全人才短缺的今天，移動應(yīng)用的專屬安全工程師更是屬于“珍惜生物”行業(yè)。如何解決移動應(yīng)用的安全審查難題？這個(gè)問題的破局者就是梆梆安全為開發(fā)者推出的針對Android系統(tǒng)的手機(jī)應(yīng)用安全測評系統(tǒng)。該系統(tǒng)能夠幫助開發(fā)者對手機(jī)進(jìn)行全面安全測試評估，使開發(fā)者了解其應(yīng)用中存在的安全問題，并且提出解決方案，幫助開發(fā)者提前規(guī)避應(yīng)用中可能存在的安全隱患。

　　梆梆安全所開發(fā)的移動應(yīng)用安全測評系統(tǒng)以多個(gè)安全機(jī)構(gòu)所發(fā)布的安全規(guī)范（如，《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》、《電子銀行安全評估指引》、《移動互聯(lián)網(wǎng)應(yīng)用軟件安全評估大綱》等）作為測評的主要標(biāo)準(zhǔn)，并結(jié)合了梆梆安全多年所累積的Android平臺應(yīng)用安全分析經(jīng)驗(yàn)，可以對Android平臺應(yīng)用進(jìn)行全方面的安全性測試評估，測評項(xiàng)目涵蓋目前Android平臺上各種主流的安全風(fēng)險(xiǎn)和漏洞。

　　梆梆安全的移動應(yīng)用測評系統(tǒng)為開發(fā)者提供安全檢測、風(fēng)險(xiǎn)評估和漏洞掃描三類測評表項(xiàng)。

　　安全檢測主要查看APK應(yīng)用內(nèi)部行為是否符合安全規(guī)范，防范這些內(nèi)部行為所可能導(dǎo)致的信息泄露、權(quán)限混亂等問題。包含病毒檢測、敏感行為檢測、配置文件檢測、權(quán)限檢測、敏感詞檢測等25項(xiàng)測評項(xiàng)目。

　　風(fēng)險(xiǎn)評估主要檢測APK當(dāng)前實(shí)現(xiàn)所可能面臨的外部攻擊風(fēng)險(xiǎn)，此類風(fēng)險(xiǎn)是目前APK應(yīng)用環(huán)境中常見的安全隱患，可以利用其進(jìn)行二次打包、盜取敏感數(shù)據(jù)等非法操作。風(fēng)險(xiǎn)評估包含加固殼識別、代碼保護(hù)、Java層調(diào)試、組件安全、敏感函數(shù)調(diào)用等41項(xiàng)測評項(xiàng)目。

　　漏洞掃描則會分析APK在業(yè)務(wù)實(shí)現(xiàn)中可被利用的技術(shù)漏洞，如數(shù)據(jù)庫注入、webview遠(yuǎn)程代碼執(zhí)行、業(yè)務(wù)邏輯漏洞等，黑客可以通過這些漏洞直接對應(yīng)用進(jìn)行攻擊，實(shí)現(xiàn)越權(quán)操作進(jìn)而破壞應(yīng)用。

　　梆梆安全移動應(yīng)用測評系統(tǒng)完全針對于Android系統(tǒng)中的應(yīng)用程序本身，而且可以根據(jù)用戶級別提供自動測評和人工測評兩種服務(wù)模式。

　　在自動測評服務(wù)模式下，開發(fā)者只需將其APK文件提交至測評系統(tǒng)，測評系統(tǒng)將會自動開始對APK主要安全指標(biāo)進(jìn)行測評，例如應(yīng)用使用是否存在冗余權(quán)限、敏感詞和廣告，是否存在反編譯、二次打包風(fēng)險(xiǎn)，是否存在數(shù)據(jù)庫注入漏洞等。測評結(jié)果包括每個(gè)測評項(xiàng)目的檢測目的、測評項(xiàng)目可能產(chǎn)生的危害、測評項(xiàng)目的詳細(xì)內(nèi)容以及相應(yīng)的解決方案。通過自動化測評，開發(fā)者可以獲取當(dāng)前應(yīng)用面臨的主要安全問題。自動測評的響應(yīng)時(shí)間根據(jù)所提交的APK包大小有所差異，理論上單個(gè)APK包檢測時(shí)間不超過10分鐘，該系統(tǒng)可以滿足即時(shí)測評、即時(shí)得出報(bào)告的要求。

　　由于技術(shù)限制，目前Android平臺上存在的部分問題無法通過自動模擬的方式實(shí)現(xiàn)，例如界面劫持風(fēng)險(xiǎn)、雙因子認(rèn)證風(fēng)險(xiǎn)、第三方SDK風(fēng)險(xiǎn)、webview遠(yuǎn)程代碼執(zhí)行漏洞等，所以需要專業(yè)的滲透和逆向測試工程師為開發(fā)者提供人工測評項(xiàng)目。人工測評包含了自動測評以及需要人工介入的所有項(xiàng)目，開發(fā)者只需要在系統(tǒng)中向梆梆安全提交人工測評申請即可。專業(yè)滲透測試工程師將會進(jìn)行全面的安全測評，或根據(jù)用戶特定需求進(jìn)行定制測評。人工測評的響應(yīng)時(shí)間根據(jù)所提交的APK包大小和業(yè)務(wù)邏輯，所需要的時(shí)間也不同。通過該測評系統(tǒng)提交人工測評申請，可以在2~3天內(nèi)完成所有人工測試，并且交付全面的正式測評報(bào)告。