首页> 安全资讯 > APP安全检测,提升应用整体安全水平

APP安全检测,提升应用整体安全水平

发布时间:2022-09-09

据IDC《全球网络安全支出指南》(IDC Worldwide Security Spending Guide)数据,2026年中国网络安全IT支出规模将达到318.6亿美元,中国网络安全市场增速持续领跑全球, 其中,政府、金融和电信行业占比最大。作为国内知名的移动信息安全综合服务提供商,爱加密持续以优质的技术为各行业用户提供全方位、一站式的移动安全全生命周期解决方案。

 

 

爱加密移动应用安全检测平台,可检测Android应用、鸿蒙应用、iOS应用、Android SDK、微信公众号、微信小程序、IoT固件存在的安全风险、漏洞,对发现的安全问题给出解决建议,并且提供准确、完整的安全检测报告,帮助开发者了解并提高应用的安全性。

 

核心技术

 

静态检测:

 

通过反编译技术等相关技术可以获取APP的签名、包名MD5等主要信息,并获取到程序的API调用序列。然后通过爱加密的漏洞知识库、病毒知识库、APP权限知识库等对APP进行静态分析。通过静态漏洞检测技术进行APP安全检测,能够在不运行程序的情况下面检测出APP包含的基本信息风险、数据存储风险、内部数据交互风险等APP风险。

 

基本信息风险检测是指获取到APP的应用名称、文件MD5等基本信息之外,还获取APP的签名信息、加固厂商、第三方SDK、申请权限情况等内容,通过对加固厂商的识别,可以判断APP的基本加固的情况;通过识别第三方SDK,可以快速地筛查出是否包含有恶意的SDK,通过检测申请权限的情况可以准确分析出APP是否有权限滥用的行为。

 

数据存储风险检测是保障个人信息安全的重要组成部分。此项检测中可以检测APP是否有数据全局共享的问题,SD卡数据泄露的问题。APP通讯证书是否明文存储等风险。如SD卡数据泄露风险,使用SD卡存储的数据,不仅本应用访问,任何有访问SD卡权限的应用均可以访问。如果在SD卡上存储账号、密码等敏感信息,容易导致信息泄漏。

 

内部数据交互风险主要是检测APP是否有数据交互方面的风险。例如APP如果采用了URL硬编码和IP硬编码,就容易被第三方的黑客改造利用,URL硬编码是指将URL地址信息以硬编码的方式写在应用代码中。攻击者反编译应用包后,可以获取应用包中的URL地址信息,并攻击其所在服务器。如果服务器的安全防范能力薄弱,攻击者可以破解服务器的安全防护措施,从而获取服务器上存储的敏感信息。

 

动态检测:

 

采用模糊测试的方式对APP进行稳定性测试。检测的方式包括沙箱模型和虚拟机方式,检测内容包含但不限于动态注入攻击检测、应用完整性检测等检测内容。

 

动态注入攻击检测就是将应用安装到手机终端设备上并运行,然后向APP中注入SO文件,监测APP是否有注入防护措施。如果APP继续平稳运行,就是说APP被注入了也不会自我保护,则APP就存在动态注入攻击的风险。

 

应用完整性检测是指进行APP解压缩操作,向解压后的文件中添加若干任意新文件,对修改后的APP文件进行重新签名,将签名后的新的APP文件安装到手机终端设备,若可以正常启动,则存在风险。如果应用没有完整性自检的能力,APP可以随意的被第三方随意的修改,添加各种类型的插件。

 

创新能力

 

爱加密始终坚持技术创新的发展战略,紧跟移动应用发展趋势和用户需求,不断更新迭代现有产品和解决方案;公司拥有多项计算机软件著作权(88项)及发明专利(14项),涉及移动应用安全、个人信息安全、5G、工业互联网、威胁感知等,已形成了自主知识产权的核心技术群及知识产权体系,多项核心技术已具备一定的先进水平。近年来,为了更好地顺应国家法规、产业政策和技术特点的发展脉络,同时切入个人信息安全、威胁感知、移动安全运营管理、移动应用监管、5G、工业互联网安全等新领域,在相关领域的技术研发水平已处于国内领先。

 

以APP为核心的安全检测业务包括对APP的通用漏洞风险、源代码风险、个人信息安全风险、数据风险、恶意程序风险、内容违规风险等多维度的检测能力。能够给企业客户提供合规的风险前瞻性发现和针对性防护,同时能够为国家监管机构和政府提供针对移动应用市场的全貌安全监管技术支撑和服务能力。

 

智能化静态检测和动态沙箱检测技术。通过安全大数据库的自学习进化,数据赋能增强检测技术,能够对应用在资产分析、权限违规使用、恶意程序、通用安全漏洞、数据安全、个人信息安全、内容违规等安全的全维度进行分析,并且给出最佳实践建议。

 

加入收藏