如今,数据泄露、网络攻击事件频发,我国网络安全形势依旧严峻,网络信息安全是网络强国战略中的重要组成部分,个人信息安全更是多次被提上日程。据《中国互联网络发展状况统计报告》显示,遭遇个人信息泄露的网民比例最高,达22.8%,个人信息安全问题的改善始终是重中之重。随着国家对个人信息安全的愈发重视,国家、行业等不同层级的监管机构都出台了一系列的法律法规和行业规范,网络安全强监管已开始“护法”个人信息安全。
爱加密移动应用个人信息安全检测平台是针对移动应用、SDK中出现个人信息的非法收集、滥用、泄露等严重问题,结合相关法律法规和监管要求,为监管机构、测评机构、应用开发企业等推出的合规检测平台。该平台针对移动应用的基本信息、漏洞信息、收集和使用个人信息行为、通讯传输行为、软件和技术供应链情况、技术脆弱性、隐私政策规范性等进行多维度安全检测和合规检测,并出具专业的个人信息安全报告。帮助监管机构准确、有效地提供行政执法依据;帮助测评机构出具专业的个人信息测评报告;帮助应用开发企业在应用发布前评估个人信息的安全性和合规性。
核心技术
沙箱系统
自主研发的沙箱系统,可监测APP在运行过程中的高达100+种行为,包括读取文件、写入文件、获取应用进程、读取系统配置等行为。同过行为函数调用栈对行为主体进行分析,过滤APP或SDK行为,针对性排查违规行为主体,定位行为触发的代码位置。
DPI技术
沙箱系统结合DPI技术,对应用通讯传输数据进行抓取,分析传输数据内容,访问服务器地址、地理位置、网络传输类型等信息。定位信息接收对象,分析数据内容是否包含个人信息。
IDB服务
建立127.0.0.1本地websocket服务,浏览器连接上后,启动动态/法规检测,会给IDB发启动命令,IDB启动手机websocket服务,通过ssh通知手机连接IDB手机websocket服务,IDB下载ipa之后,将ipa移动到手机指定路径,调用命令安装,然后启动。手机检测过程中产生行为数据,经由IDB转发到浏览器端。
平台优势
全面性
从应用自身到第三方SDK、存储数据到传输数据、代码漏洞到业务漏洞等多维度,实现对移动应用个人信息合规的全面检测。
规范性
全面覆盖《信息安全技术 个人信息安全规范》、《App违法违规收集使用个人信息自评估指南》等主流安全检测标准、法规条文及行业标准。
准确性
采用自主研发的沙箱系统和DPI技术对移动应用深度检查,确保报告准确性。
自动化
采用全自动化功能遍历技术,模拟移动应用真实运行场景,快速全自动生成报告。
文章来自:www.ijiami.cn