CTI論壇(ctiforum)12月3日消息(記者 李文杰):在這個(gè)移動的時(shí)代里,琳瑯滿目的各類應(yīng)用在不斷的誘惑著人們,但不斷涌現(xiàn)的應(yīng)用安全問題也使得人們的信息時(shí)刻面臨泄漏風(fēng)險(xiǎn)。開發(fā)者們辛苦打造的精品應(yīng)用卻存在未知的安全風(fēng)險(xiǎn),這將大大影響用戶對應(yīng)用的下載與使用。能在開發(fā)交付之前就先發(fā)現(xiàn)應(yīng)用中所潛藏的安全隱患么?
CNNIC發(fā)布的數(shù)據(jù)顯示2014上半年中國手機(jī)網(wǎng)民數(shù)量達(dá)5.27億,由此引發(fā)的移動安全問題也日益凸顯,特別是在第一大移動操作系統(tǒng)平臺安卓中,安裝包逆向反編譯、惡意代碼注入、二次打包的盜版應(yīng)用、界面劫持、短信劫持、隱私竊取等不僅會導(dǎo)致用戶數(shù)據(jù)泄漏,而且使得正版應(yīng)用遭遇信任危機(jī),開發(fā)者的知識版權(quán)等合法權(quán)益無法得到保證。
手機(jī)應(yīng)用安全問題正在成為開發(fā)者們心中永遠(yuǎn)的痛,這也是整個(gè)應(yīng)用市場發(fā)展所面臨的重要問題。而手機(jī)應(yīng)用安全的專業(yè)性,使得普通開發(fā)者無法全面了解APK中的安全漏洞和風(fēng)險(xiǎn),難以對手機(jī)應(yīng)用的安全性作出深入評估分析,以期交付給用戶一個(gè)安全可靠的APP。在安全人才短缺的今天,移動應(yīng)用的專屬安全工程師更是屬于“珍惜生物”行業(yè)。如何解決移動應(yīng)用的安全審查難題?這個(gè)問題的破局者就是梆梆安全為開發(fā)者推出的針對Android系統(tǒng)的手機(jī)應(yīng)用安全測評系統(tǒng)。該系統(tǒng)能夠幫助開發(fā)者對手機(jī)進(jìn)行全面安全測試評估,使開發(fā)者了解其應(yīng)用中存在的安全問題,并且提出解決方案,幫助開發(fā)者提前規(guī)避應(yīng)用中可能存在的安全隱患。
梆梆安全所開發(fā)的移動應(yīng)用安全測評系統(tǒng)以多個(gè)安全機(jī)構(gòu)所發(fā)布的安全規(guī)范(如,《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》、《電子銀行安全評估指引》、《移動互聯(lián)網(wǎng)應(yīng)用軟件安全評估大綱》等)作為測評的主要標(biāo)準(zhǔn),并結(jié)合了梆梆安全多年所累積的Android平臺應(yīng)用安全分析經(jīng)驗(yàn),可以對Android平臺應(yīng)用進(jìn)行全方面的安全性測試評估,測評項(xiàng)目涵蓋目前Android平臺上各種主流的安全風(fēng)險(xiǎn)和漏洞。
梆梆安全的移動應(yīng)用測評系統(tǒng)為開發(fā)者提供安全檢測、風(fēng)險(xiǎn)評估和漏洞掃描三類測評表項(xiàng)。
安全檢測主要查看APK應(yīng)用內(nèi)部行為是否符合安全規(guī)范,防范這些內(nèi)部行為所可能導(dǎo)致的信息泄露、權(quán)限混亂等問題。包含病毒檢測、敏感行為檢測、配置文件檢測、權(quán)限檢測、敏感詞檢測等25項(xiàng)測評項(xiàng)目。
風(fēng)險(xiǎn)評估主要檢測APK當(dāng)前實(shí)現(xiàn)所可能面臨的外部攻擊風(fēng)險(xiǎn),此類風(fēng)險(xiǎn)是目前APK應(yīng)用環(huán)境中常見的安全隱患,可以利用其進(jìn)行二次打包、盜取敏感數(shù)據(jù)等非法操作。風(fēng)險(xiǎn)評估包含加固殼識別、代碼保護(hù)、Java層調(diào)試、組件安全、敏感函數(shù)調(diào)用等41項(xiàng)測評項(xiàng)目。
漏洞掃描則會分析APK在業(yè)務(wù)實(shí)現(xiàn)中可被利用的技術(shù)漏洞,如數(shù)據(jù)庫注入、webview遠(yuǎn)程代碼執(zhí)行、業(yè)務(wù)邏輯漏洞等,黑客可以通過這些漏洞直接對應(yīng)用進(jìn)行攻擊,實(shí)現(xiàn)越權(quán)操作進(jìn)而破壞應(yīng)用。
梆梆安全移動應(yīng)用測評系統(tǒng)完全針對于Android系統(tǒng)中的應(yīng)用程序本身,而且可以根據(jù)用戶級別提供自動測評和人工測評兩種服務(wù)模式。
在自動測評服務(wù)模式下,開發(fā)者只需將其APK文件提交至測評系統(tǒng),測評系統(tǒng)將會自動開始對APK主要安全指標(biāo)進(jìn)行測評,例如應(yīng)用使用是否存在冗余權(quán)限、敏感詞和廣告,是否存在反編譯、二次打包風(fēng)險(xiǎn),是否存在數(shù)據(jù)庫注入漏洞等。測評結(jié)果包括每個(gè)測評項(xiàng)目的檢測目的、測評項(xiàng)目可能產(chǎn)生的危害、測評項(xiàng)目的詳細(xì)內(nèi)容以及相應(yīng)的解決方案。通過自動化測評,開發(fā)者可以獲取當(dāng)前應(yīng)用面臨的主要安全問題。自動測評的響應(yīng)時(shí)間根據(jù)所提交的APK包大小有所差異,理論上單個(gè)APK包檢測時(shí)間不超過10分鐘,該系統(tǒng)可以滿足即時(shí)測評、即時(shí)得出報(bào)告的要求。
由于技術(shù)限制,目前Android平臺上存在的部分問題無法通過自動模擬的方式實(shí)現(xiàn),例如界面劫持風(fēng)險(xiǎn)、雙因子認(rèn)證風(fēng)險(xiǎn)、第三方SDK風(fēng)險(xiǎn)、webview遠(yuǎn)程代碼執(zhí)行漏洞等,所以需要專業(yè)的滲透和逆向測試工程師為開發(fā)者提供人工測評項(xiàng)目。人工測評包含了自動測評以及需要人工介入的所有項(xiàng)目,開發(fā)者只需要在系統(tǒng)中向梆梆安全提交人工測評申請即可。專業(yè)滲透測試工程師將會進(jìn)行全面的安全測評,或根據(jù)用戶特定需求進(jìn)行定制測評。人工測評的響應(yīng)時(shí)間根據(jù)所提交的APK包大小和業(yè)務(wù)邏輯,所需要的時(shí)間也不同。通過該測評系統(tǒng)提交人工測評申請,可以在2~3天內(nèi)完成所有人工測試,并且交付全面的正式測評報(bào)告。