应用安全FAQ
更新于: 2024-03-22 10:49应用安全检测
Q1 安全检测与安全扫描的差异是什么?
安全扫描主要针对静态资源做自动化扫描,而安全检测由安全专家提供模拟用户行为的动态检测能力。
Q2 安全检测的原理是什么?
移动APP检测采用动静结合检测以及专家人工检测,基于以符号执行为核心的静态分析引擎(静态数据采集包括应用信息、权限信息、签名信息、代码漏洞等);以运行态沙盒为核心的动态检测引擎(采用API Hook、定制内核、污点分析等技术,动态采集log运行日志、运行截图、传输数据等);以及人工专家根据应用自身特性定制的安全检测方案,快速准确的定位移动应用的漏洞、判断是否存在恶意、违规行为并提供处理方案。
Q3 安全检测内容有哪些?
检测内容包括APP代码安全、网络传输安全、数据存储安全、后端API安全共四部分。
- APP代码安全主要检测APP各个功能组件、API调用、后门程序等安全问题,比如数据库接口暴露导致的数据库被篡改、窃取等、其它组件暴露导致的信息劫持和欺骗等。
- 网络传输安全主要检测APP与后端API交互数据的网络传输安全以及网络行为安全,包括网络传输时携带数据/参数安全;敏感数据传输完整性校验;中间人攻击风险等。
- 数据存储安全主要检测APP存储数据文件的权限、输入、存储、显示等安全问题,包括数据文件及其所在文件夹的权限配置导致的安全问题;应用涉及的隐私数据输入、存储、备份、显示等安全问题。
- 后端API安全主要检测对外暴露的API接口可能存在的SQL注入、XSS跨站脚本、缓冲区溢出、弱口令、数据库泄露等安全问题,防止恶意人员利用漏洞攻击服务器。
Q4 安全检测的标准和依据是什么?
安全检测依据严格按照国家标准规范(如安全漏洞等级划分指南、信息安全风险评估规范等)、参考借鉴金融行业和通信行业标准,特别公司参与制定的业界都在使用的《移动APP安全检测基准》,从而体现APP检测结果的科学性、公正性和合理性,主要检测依据如下所示:
- 《GB/T 30279-2013 信息安全技术 安全漏洞等级划分指南》
- 《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》
- 《GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保护指南》
- 《信息安全技术 移动智能终端个人信息保护技术要求》
- 《ISO/IEC 15408信息技术 安全技术 IT安全的评估准则》
- 《移动APP安全检测基准》
- 《移动互联网应用软件安全检测大纲》
- 《移动互联网应用软件安全评估大纲》
- 《中国金融移动支付检测规范第3部分:客户端软件》
- 《中国金融移动支付 应用安全规范》
- 《电子银行业务管理办法》
- 《电子银行安全评估指引》
- 《YD/T1438-2006 数字移动台应用层软件功能要求和测试方法》
- 《YD/T2307-2011 数字移动通信终端通用功能技术要求和测试方法》
- 《YD/T 2439-2012 移动互联网恶意程序描述格式》
Q5 安全检测支持哪些移动系统?
目前只支持Android平台和iOS平台。
Q6 同一个应用不同厂商检测出的分数差别很大,你们是如何打分的?
- 目前业界没有统一的一个检测评分标准,不同厂商根据自己理解和产品商业化策略,会制定不同的打分机制。例如某些厂商会把未加固当作是高危漏洞,或者把某一组件安全风险调高,这样检测分数比较低,方便他们推进销售APP加固产品。
- 我们对APP打分遵循公正、客观、科学的原则,评分标准是主要依据国家标准、参考行业标准,结合应用存在不同安全风险类别(包括恶意行为、内容违规、盗版仿冒、安全漏洞),采取综合打分法。例如,安全漏洞评分主要按照《GB/T 30279-2013 信息安全技术 安全漏洞等级划分指南》、恶意行为主要按照《YD/T 2439-2012 移动互联网恶意程序描述格式》,内容违规主要按照《计算机信息网络国际联网安全保护管理办法》第五条,最后根据《GBT 20984-2007信息安全技术 信息安全风险评估规范》进行综合打分。
Q7 安全检测支持国家漏洞库(CNNVD)和CVE漏洞库吗?
我们是国家漏洞库(CNNVD)技术支撑单位,同时,有专门的移动APP漏洞研究小组在跟进国内外主流的移动安全漏洞信息,我们的APP检测产品已经支持与CNNVD和CVE的漏洞编号关联,与国内外主要漏洞库保持同步,后续会不断补充完善其他漏洞库信息。
Q8 安全检测与手机卫士有什么区别?
- 检测时机不同。安全检测是事前防御,即在上线前(最好是在开发阶段)对APK进行安全检测及时发现问题;手机卫士是事后防御,即在安装到手机进行检测,此时可能已经发生安全事件了。
- 结果输出不同。APP检测结束后会输出丰富的结果信息,并提供分析报告;手机卫士只提供有限的检测结果概览。
Q9 你们的APP检测产品有哪些优势?
- 多种检测方式。基于动态分析和静态分析扫描以及专业的专家人工检测,全面发现App安全问题,包括安全漏洞、恶意行为、内容违规等方面。
- 内容全面。独有的服务器API安全检测,可对移动APP业务系统全逻辑覆盖,对移动应用4大类、100多项安全隐患进行全面检测。
- 结果精准。覆盖程序执行的全路径,精准的数据流分析严格控制误报率和漏报率。
- 产品合规。产品设计严格按照国家标准和行业规范,检测结果科学、客观、合理。
应用安全扫描
Q1 安全扫描能解决什么问题?
虽然通过应用加固,可以对 APP 程序进行整体的保护。但对于 APP 的编程代码、第三方控件、以及残留信息等方面,是否存在代码风险,已知漏洞,是否存在后门等恶意代码,是否存在违法违规,暴露自身运行逻辑的敏感信息,就需要进行全面的安全检测,发现潜在的应用安全问题。
Q2 WeTest安全扫描能力如何?
安全扫描,包括代码风险、漏洞扫描、第三方 SDK 检测、恶意代码扫描,以及敏感词检测等全方面的安全检测能力。并且,基于腾讯的全网终端覆盖,对于新风险、新威胁,能够第一时间反馈至应用安全检测能力,并转化为腾讯云用户的价值。
Q3 安全扫描发现的问题,应该怎么办?
安全扫描报告中,不仅会提供直观的检测结果,同时会将问题的具体位置、相关代码反馈用户,使用户能够快速定位到问题。
针对每一项检测结果中发现的问题,均配以相应的解决建议,建议具体到配置某个参数、代码,从而帮助用户快速解决问题。
Q4 应用在什么阶段进行安全扫描?
建议用户在开发阶段中,可根据需要进行安全检测,及时发现并解决问题;
在应用发布前的测试阶段,建议进行安全检测,确保待发布应用的安全性;
Q5 使用未加固安装包,还是已加固安装包进行安全扫描?
因为加固后部分代码已加密加壳,建议用户使用未加固安装包进行检测,能够更深度的发现潜在的风险和漏洞。
应用安全加固
Q1 为什么要加固
Android 应用使用 Java 语言编程,易被反编译,破译核心业务逻辑和算法;
Android 应用易被二次打包,插入病毒、木马、流氓广告等恶意代码;
Android 系统本身开源特性,以及移动应用承载的越来越多的核心业务,使其已成为黑客的主要攻击对象;
Q2 加固对应用性能有什么影响?
应用加固经过多年实践,已实现应用固后与加固前相比,性能影响极小,用户使用基本无感知。
Q3 加固对应用兼容性有什么影响?
应用加固是基于加密、加壳技术对 APP 进行保护。理论上对应用加固后的兼容性会产生一定影响。但应用加固基于多年加固经验及每次加固后的兼容性测试服务,能够有效保证应用加固后的兼容性水平。
Q4 不同类型应用的加固策略,都是一样的吗?
目前我们共提供3种加固服务,分别为基础版、专业版及企业版。
其中,
基础版,免费提供,使用通用加固策略,保证基本的 APP安全,普遍适用于各种应用,稳定性和兼容性可靠;
专业版,在基础版之上,提供更强的加固策略;
企业版,支持iOS及Android两端,是针对于应用自身的特性,及用户需要,专属加固策略,实现更高的 APP 安全标准;同时,基于人工的加固策略审核,以及加固后的兼容性测试服务,可以更好的保证应用加固后的稳定性和兼容性。
Q5 针对于手机游戏的 u3d、cocos2d 等引擎,可以加固吗?
针对于 u3d、cocos2d 引擎,有专用的加固方案,请在产品目录中找到对应的手游加固服务。