随着无线网络和移动通信技术的发展,智能手机功能日趋强大,因此也将APP市场带动了起来。但是随着手机操作系统日益标准化,网络攻击手段不同往日,黑客已经可以像攻击电脑信息系统一样针对手机系统发起攻击,同时,APP的特点使其同时暴露在众多的网络安全风险和威胁之下,容易遭受到病毒、木马、蠕虫等恶意程序的攻击。
APP通报事件不断,引起了相关部门的重视,下令整改难免给通报企业带来压力,网络安全警钟再次敲响。
当今社会多数人手机不离身,我们无时不刻不在使用APP,那么它真的安全吗?这是APP开发商应该为自身企业和用户考虑的问题。
移动应用和信息系统一样,会存在安全隐患,只是有待APP开发商发现,而发现安全风险的最好办法就是对目标应用定期进行安全检测。因此建议APP开发商在应用开发生命周期里,对APP安全做一下检测,及时发现APP的安全漏洞和程序存在的缺陷问题,从而降低安全风险和损失。
那么有关APP安全检测的方式都有哪些?
1. 漏洞扫描
基于漏洞数据库,通过自动化工具扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测。发现可利用漏洞的一种安全检测行为。
2. 渗透测试
由具备高技能和高素质的安全服务人员发起、并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。
图2 渗透测试流程
3. 代码审计
由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员,对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
图3 代码审计流程
4. 安全加固
移动应用安全加固包括Android应用加固、iOS应用加固、游戏应用加固、H5文件加固、微信小程序加固、SDK加固、so文件加固和源对源混淆加固技术,从根本上解决移动应用的安全缺陷和风险,使加固后的移动应用具备防逆向分析、防二次打包、防动态调试、防进程注入、防数据篡改等安全保护能力。
5. 安全配置检查
针对IT范围内,漏洞扫描工具不能有效发现的方面(网络设备的安全策略弱点和部分主机的安全配置错误等)进行安全辅助的一种有效评估手段。
6. App违法违规收集使用个人信息合规评估
从APP运营者和监管部门角度出发,多方面对个人信息的收集、使用、存储、传输、行为和权利保障等多个方面,严格按照国家标准规范和监管发文,对移动应用进行全面合规检查,率先将监管检测要求运用到合规评估服务中,强制授权、过度索权、不给权限不让用、私自收集使用个人信息等,为企业和机构提供面向移动应用程序的全方位合规评估。
图5 App违法违规收集使用个人信息合规评估流程
APP安全检测主要面向主流手机操作系统(包括但不限于:Android,IOS,Windows Phone,Symbian,Java等)上开发的移动应用。检测范围覆盖手机端应用程序及文件,服务器端承载环境及处理逻辑及手机端与服务端的网络通讯。
近期APP违法违规收集使用个人信息通报较多,APP无安全评估报告不给上架的情况也较为常见。随着移动应用市场应用的增多,相关部门也因此加大监管力度。为确保APP的安全性与合规性,有必要对其实施有效的安全评估。
诸多种安全检测方式,企业可根据自身需求选择合适的评估手段,以便通过上架审查。