近日,爱加密参加的“移动互联网应用程序(App)个人信息安全测试”能力验证项目(项目编号:CCRC/PT-2021-001),其中,个人信息的收集、个人信息主体的权利检测参数,提交的测试结果为满意。
本次能力验证依据 GB/T 35273-2020《信息安全技术 个人信息安全规范》,检测项目涉及个人信息的收集、个人信息的传输和个人信息主体的权利。通过本次能力验证测试的机构及相关企业,证明其具备有关检测能力水平,可作为承担检测、评估等技术服务的参考依据。
爱加密专注于移动应用安全领域多年,针对移动应用个人信息安全问题,可提供专业的移动应用安全检测、移动应用个人信息安全检测、移动应用个人信息安全合规评估服务等。具备全方位的个人信息安全检测、安全规范合规、安全应用备案、持续监督等能力,可帮助应用开发企业在应用发布前评估个人信息的安全性和合规性;出具专业的个人信息测评报告,助力企业提升个人信息安全合规能力。
核心技术
沙箱系统
自主研发的沙箱系统,可监测APP在运行过程中的高达100+种行为,包括读取文件、写入文件、获取应用进程、读取系统配置等行为。同过行为函数调用栈对行为主体进行分析,过滤APP或SDK行为,针对性排查违规行为主体,定位行为触发的代码位置。
DPI技术
沙箱系统结合DPI技术,对应用通讯传输数据进行抓取,分析传输数据内容,访问服务器地址、地理位置、网络传输类型等信息。定位信息接收对象,分析数据内容是否包含个人信息。
IDB服务
建立127.0.0.1本地websocket服务,浏览器连接上后,启动动态/法规检测,会给IDB发启动命令,IDB启动手机websocket服务,通过ssh通知手机连接IDB手机websocket服务,IDB下载ipa之后,将ipa移动到手机指定路径,调用命令安装,然后启动。手机检测过程中产生行为数据,经由IDB转发到浏览器端。
优势价值
全面性:从应用自身到第三方SDK、存储数据到传输数据、代码漏洞到业务漏洞等多维度,实现对移动应用个人信息合规的全面检测。
规范性:全面覆盖《信息安全技术个人信息安全规范》、《App违法违规收集使用个人信息自评估指南》等主流安全检测标准、法规条文及行业标准。
准确性:采用自主研发的沙箱系统和DPI技术对移动应用深度检查,确保报告准确性。
自动化:采用全自动化功能遍历技术,模拟移动应用真实运行场景,快速全自动生成报告。
高性能:可灵活配置,每日检测任务可达上万次,联合主流应用分发渠道,对上架应用进行全面合规检测,并进行合规风险通报。