随着移动互联网信息技术的快速发展,手机成为移动互联网最主要设备,用户可以不限制地点、时间,并且随时可以在移动中接入互联网并使用相关业务。导致各类视频、旅游、阅读、社保、快递物流等移动APP越来越多地出现在人们的日常工作和生活中,在带来方便与快捷的同时,移动APP中的许多不安全因素也相继爆发,且已经(或正在)威胁着相关业务的正常开展,可能会造成巨大的经济损失。随着国家对网络安全保护的程度日益加大,《网络安全法》、《数据安全法》、《个人信息保护法》等重要法律法规相继落地施行,要求对各个行业对移动应用安全进行全面的监管与管理。
在移动互联网时代APP持续成为互联网提供服务的主角,给人们工作生活带来便利的同时,也造成安全风险事件频发。从技术角度来观察,互联网行业移动APP面临的风险主要体现在以下几方面:
数据泄露风险
移动APP安全防范机制相对落后,用户数据在传输、存储过程中容易被窃取或非法访问,部分应用未采用有效的加密技术来保护源代码及用户数据。
数据篡改风险
黑客可能利用移动应用程序中的漏洞或不当的权限管理,通过远程攻击的方式篡改应用程序中的数据。
安全合规风险
某些移动APP、SDK存在非法收集、滥用、泄露个人信息等严重问题,危害用户合法权益,违反《网络安全法》、《数据安全法》、《个人信息保护法》等国家政策法规要求。
针对移动APP全生命周期各个阶段遇到的数据泄露、数据篡改、安全合规等风险问题,为保证互联网行业移动应用业务安全,需建立一套完备的安全防护体系。通过源代码审计、移动APP安全检测、渗透测试、黑盒测试、移动APP安全加固、应用数据API监测、移动APP个人信息合规检测等技术手段,从根源上解决了移动APP整个生命周期面临的安全风险,满足国家、行业的监管要求。
| 源代码审计 | 针对应用开发过程中的编码阶段、测试阶段、交付验收阶段、对各阶段系统源代码进行安全审计检测,对源代码安全问题进行分析和检测并验证。 |
| 移动APP安全检测 | 使用静态检测、动态检测等检测技术对移动APP进行全方位多角度的安全有效性验证,帮助企业或个人开发者准确定位漏洞问题代码和安全缺失。 |
| 移动APP个人信息合规检测 | 针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测。 |
| 渗透测试 | 模拟黑客可能使用的攻击技术和漏洞发现技术,以发现移动APP最脆弱的环节、可能被利用的入侵点以及现网存在的安全隐患。 |
| 黑盒测试 | 主要进行软件的功能性测试,验证程序是否能正确地处理输入数据并产生正确的输出结果。 |
| 移动APP安全加固 | 提供全面的移动应用安全加固技术,从根本上解决移动应用的安全缺陷和风险,使加固后的移动应用具备防逆向分析、防二次打包、防动态调试、防进程注入、防数据篡改等安全保护能力。 |
| 应用数据API监测 | 以数据为中心,面向Web、APP、小程序、IoT等应用系统的持续动态的流量监测分析系统,帮助实现API数据暴露面的治理和对数据攻击行为的持续发现。 |
京公网安备
11010802025310号
