如今,越来越多的APP面临着不同程度的威胁攻击,包括被篡改、被调试、用户数据被泄露、被二次打包等,导致APP运营者遭受巨大损失。此外,移动应用未经授权频繁访问、读取手机信息、读取短信通讯录等,严重侵犯着人们的个人隐私安全。伴随着国家相关安全法规/政策/标准/行动的落地,移动应用安全更成为企业、运营者、监管机构重点关注的问题。
为避免移动应用中存在安全漏洞、编码缺陷等问题而造成威胁隐患,同时满足国家政策合法合规的要求,移动应用安全检测至关重要。爱加密领先的移动应用安全检测解决方案,可帮助监管机构、企业单位等及时预防安全风险,并对发现的问题给予详细的解决建议。
爱加密移动应用安全合规解决方案,依据《网络安全法》、《个人信息安全规范》、《关于开展APP违法违规收集使用个人信息专项治理的公告》、《APP侵害用户权益专项整治行动的通知》、《APP违法违规收集使用个人信息自评估指南》、《APP违法违规收集使用个人信息行为认定方法》等法律要求,采用静态检测、动态检测、内容检测等技术,及时发现移动应用安全问题、预防安全风险,提升APP安全整体防护水平。
01移动应用安全检测
全面检测移动应用中存在的安全风险、漏洞、编码缺陷等安全问题,帮助开发者提前避免因安全漏洞导致的安全事故,及时预防安全风险。平台出具专业的安全检测报告,针对发现的各类安全问题提供可靠详细的解决建议。
重点场景:
1、动态获取并传递设备及用户信息,包括IMEI信息和IMSI信息等。
2、超范围采集,超出业务及功能范围采集设备信息、用户信息、行为信息等。
02个人信息安全检测
针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题,结合相关法律法规和监管要求,为监管机构、测评机构、应用开发企业等推出的合规检测系统。该系统针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,并出具专业的个人信息安全报告。帮助监管机构准确、有效地提供行政执法依据;帮助测评机构出具专业的个人信息测评报告;帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。
03个人信息保护合规评估
多方面对个人信息的收集、使用、存储、传输、行为和权利保障等多个方面,严格按照国家标准规范和监管发文,对移动应用进行全面合规检查,率先将监管检测要求运用到合规评估服务中,强制授权、过度索权、不给权限不让用、私自收集使用个人信息等,为企业和机构提供面向移动应用程序的全方位合规评估服务。
重点场景:
1.“私自收集个人信息”。APP运行时,缺乏向用户明示且征求用户同意的环节,收集IMEI、设备MAC地址、软件安装列表、通讯录、短信等个人信息。
2.“超范围收集个人信息”。APP收集个人信息,非服务所必需或无合理应用场景,超范围收集个人信息,如过度收集用户通讯录、短信、通话记录等。
04渗透测试服务
从攻击者角度,发现APP客户端及轻应用接口存在的安全隐患,检测对外提供服务的业务系统以及行内重要业务系统的威胁防御能力。深度挖掘渗透测试范围内应用系统各个层面(应用层、网络层、系统层)的安全漏洞,检验当前安全控制措施的有效性,针对发现的安全风险及时进行整改,增强系统自身防御能力,提升安全保障体系的整体健壮性。