几维资讯> 行业资讯

移动 app安全评估检测技术分析

几维安全 2020-04-16 11:22:25  1137
分享到:

由于现今的网络技术日益发达,安卓 APP 的安全也有很多隐患,这些都需要我们不断地去注意,从而提高其安全性。人们基于系统程序、系统数据、基础业务的安全性以及应用程序出现的漏洞这几个方面,来不断地完善并且构成一个更加安全、稳定、完整的移动 APP 监测系统来确保移动 APP 的安全性,其将作为“恶意伤害”的初级防线,即第一道防线,这也就提高了移动 APP 在开发时研究人员对APP安全评估的考虑,有助于移动 APP 更加良好、更加安全的发展。

移动 App 新版等级保护测评防护要点

根据最新的等级保护移动互联安全扩展标准来说,新的标准是以通过移动互联技术的等级作为主要的保证对象从而确保整体的对象等级,对于移动终端系统、应用系统、无线网络并没有固定的要求和制定目标,也就是不要求其单独定级。新标准的提出不仅要满足以前提出的等级保护标准,还要在移动终端、APP 在日常生活的应用、无线网络的物理和环境安全性、APP 的应用和数据安全性等等几个较为重要的技术方面上来提高移动 APP 的安全性。除此之外,对于管理层面上也制定出了新的目标和要求,如安全管理的方式方法、安全管理的体系、安全管理企业和企业职工、安全建设完善、等等多方面的内容提出了相关的要求。

移动 APP 的安全检测研究体系

由于网络技术发展脚步不断加快,很多不法分子就看中了网络这样的平台就进行一些违法的活动,所以移动 APP 就会存在很多的安全问题,不法分子就会通过这样的漏洞快速的对使用者进行诈骗等违法的行为,很多使用者在使用的时候不知道 APP 存在这样的安全漏洞,所以很多使用者有时候中了圈套自己也不知道。这个时候,就必须成立健全的 APP 的安全检测研究体系,必须要让每一个移动 APP 的安全漏洞得到解决,这样用户的安全才可以得到一定的保障,用户才会安心的去使用 APP。 

几维安全移动应用安全等级评估系统是一项面向企业和个人开发者提供的自动化安全检测服务,支持对安卓应用APK包做多项APP安全评估检测,包括代码保护、动态防御、本地数据、网络数据、恶意漏洞等80+项风险点,平均10分钟即可完成静态分析和动态分析检测[真机检测],生成可视化的在线报告和Word格式的离线报告。 帮助用户在发布APP前进行安全检测,避免潜在的安全问题造成经济损失。

数据的安全 

(1)存储安全性的检测

移动 APP 的内部重要信息是很容易泄露的,主要的原因就是它的信息储存的数据方式有问题,导致大部分的人都可以有访问内部权限的权力,结果就造成了内部重要信息容易泄露的局面。 

(2)资源文件篡改

现在网络上面很多的盗版 APP 或者是抄袭的 APP,这都是因为原来的移动 APP 中的资源没有经过一系列的安全保护措施就直接让用户使用,很多的不法分子就看中这样的漏洞直接把正版的 APP 资源偷偷改一下就变成了一个盗版的 APP。

业务的安全

(1)证书的监测和检测

在保证移动 APP 业务安全的方面,保证移动 APP 证书的安全性是很有意义的一个办法。如果 APP 的证书不会被盗用,那就可以保证用户的账号,信息和密码的安全,想要保证证书的安全只需要对证书里面的信息进行加密等操作就可以。

(2)对异常事件的处理和检测

一个好的移动 app 在遇到异常时应当有具备处理和检测的能力。一旦出现异常的情况,不仅要求能极为敏感的感应出来,对其进行捕捉,在捕捉到异常之后还需要将其进行记录,或者将其传到进行异常分析的服务器,由服务器对其进行解析。 

程序应用的漏洞 

(1)病毒的检测

每个移动的 APP 在进行上架之前其 APK 都是需要经过专门的病毒检测的。 

(2)APK 病态反编禅漏洞

对移动 APP 进行 APK 静态反编译的检测,检测其是否存在编译漏洞。很多反编译工具,比如 apktool,将其反编译为 smali 的代码。如果未对 smali 的代码设置防护措施,软件就会存在很多安全问题,比如软件会被破解、插入一些不良的代码、甚至广告商的 ID 都会被替换等。

(3)数据库注入漏洞

对 APP 进行数据库注入漏洞的检测发现其存在的不良影响。有些情况下,比如在设置 Content provider 件的读写权限时,对其进行了不良设置,并且遗漏了 sql 语句的过滤等,这些问题都会使移动的 APP 数据库存在隐患。如果有心之人对其进行攻击,用户的账户名、密码等敏感数据都存在泄露的危险,还会使用户进行查询时产生异常,甚至会导致应用的崩溃。

(4)a1lowBackup 安全漏洞

对移动 APP 的数据越权备份风险进行检测。有些系统,对数据的备份和恢复提供了专门的功能,比如 Android API Level 8 及其以上系统。这个功能如果存在风险,攻击者就有可能在其他端对数据进行恢复,导致用户聊天信息等敏感信息泄露。而像那些涉及到金钱交易的应用程序,别人攻击就可以在这上面来进行盗取存款和恶意支付等一系列地操作。

(5)Web View 的远程代码的执行存在漏洞

检测 APP 里是不是会有 Web View 的远程代码有执行性的漏洞这样的问题出现。像之前的版本基本上都会存在一些远程代码方面上执行漏洞比如 Android API level 16 又或者是再之前的版本都会出现这样的问题,出现这种漏洞是因为程序在使用 Web View. add Java script Interface 这种方法的时候没能够实行正常的限制,而这样就给了那些在远程进行攻击的人机会,他们就可以使用 Java Reflection API 这种方法来让移动 APP 的一些 java 函数接口完全暴露在外,使他们可以使用此接口完成一些非法操作。

(6)数据内存的运行安全

检测移动 APP 有没有关于代码的动态调试的问题。有人为的操作或者是一些恶意的程序在程序正在运行时使用这种动态调试的技术来对这个程序做一系列的窃听和跟踪,从而达到获取到移动 APP 的一些数据信息,窃取到 APP 里关于用户的一些隐私信息,这就是 Android C 层存在的代码的动态调试漏洞。

几维安全APP安全评估方案技术优势

(1)安全问题全面覆盖和准确定位

采用静态检测和动态检测相结合的方式提高准确率,对源代码进行特征匹配,特征覆盖全面,能有效地发现移动应用中的主流安全问题,准确定位问题来源,并对应用中的安全问题进行监控预警和有效规避,提供修复方案具体示例。

(2)代码级安全问题修复示例,实现便捷自查和修复

在移动应用的测评结果中,包含了代码级修复示例的修复建议为开发者提供了代码修复参考,可自主快速的完成安全漏洞修复。

(3)大数据扫描统计,掌握漏洞趋势

通过硬件服务器扩展实现海量应用的安全测评,并且可对测评的应用结果进行批量统计分析,可获取移动应用的漏洞分布和趋势。

(4)应用版本安全性的技术化管理

通过自动化的技术手段,对应用各个版本的安全状况进行统计和分析,以提供可自动化操作、可展示、可追溯的安全性管理方式。

(5)无人工操作,节约人力及时间成本

便捷易用,无需专业的安全技术人员参与,大幅降低人力开销及技术学习成本。快速实行应用安全问题检测,可及时获取应用安全测评结果,实现对应用安全问题的快速发现与修复,节约时间成本。

(6)保护客户数据隐私

可支持私有云及本地独立部署,全面隔离用户应用信息及测评结果,保护用户数据隐私及安全。

结束语

在当今这个大时代下,互联网已经普及到了大街小巷,移动互联更是当下人民最需求的技术,所以近年来,移动互联正在飞速的发展,移动智能终端在人民中的需求量也越来越大。但是与此同时却面临着一个信息安全的问题。通过分析,对移动终端的技术做了深入的研究,在身份认证,代码安全和数据存储这几个反面做了分析,给技术人员做了指导。

分享到:



《安卓应用加密》 《Unity3D手游加密》 《源代码加密》 《移动端的KiwiVM虚拟机》