移动应用安全检测方案

移动应用安全的痛点

在移动应用爆发之际,无论场景还是终端设备,都在快速向多元化、碎片化转变,受到的威胁也更多面,攻击更有针对性,除了传统威胁,移动应用还面临着更多看似细微,却可能致命的隐患。

目前,移动APP的开发厂商还不能确保每个开发人员都有全面的安全意识和安全开发能力,导致APP“带毒上线”,极易招到恶意攻击。此时,通过全面、完整、可靠的检查工具,快速发现应用中的潜在风险和漏洞,可有效提高移动APP安全性,保护企业利益和名誉,并具有极强的可操作性。

解决方案

l 动静结合的双扫描,结合深度学习算法,准确定位弱点

SecZone移动应用安全监控选用了APPCHECK为核心,针对移动应用程序的全方位安全检测服务,采用静态分析引擎和动态检测技术,结合深度学习算法,更主动挖掘漏洞,强化了发现恶意代码和后门的能力,对移动应用可能存在的问题进行快速、准确的判断和定位,并提供相应的处理方案。

l 针对Android应用的全面检测,从应用层到服务器层

由于Android的开源特性,从信息流的传输角度,将检测划分为四个层次,分别是:应用层、网络传输层、数据存储层、服务器层,针对各层次中潜在的安全风险 进行全面分析,给出合理的安全整改方案,最终将安全检测报告交付给客户。

l 针对IOS应用的四维度检测:基本信息、漏洞检测、风险提示、提示信息

iOS 系统(非越狱)因为其封闭的特性,一直被认为是最安全的手机操作系 统,但是近几年“XcodeGhost”、“YouMi”等事件危害极其严重,封闭的 iOS 系统安全性不再是神话,iOS APP 安全检测必要性充分凸显。

为了确保 iOS APP 的安全性,专门针对 iOS APP 的安全漏洞、不安全 API、 存在的安全隐患等进行检测。所有检测项主要分为四个维度:基本信息、漏洞检 测、风险提示、提示信息。

l 充分符合合规要求,低维护成本,高可移植性

合规风险是现在企业面临的政治、市场风险之一,特别在GDRP发布并正式生效之后。APPCHECK在内容合规检测由内容提取、内容检测及报告三大模块组成,自动检测移动应用中的违规内容,具有多维度检测、维护成本低、可移植性高等特点。

方案优势

l 符合合规要求,为企业避免市场风险

产品设计严格按照国家标准和行业规范,检测结果科学、客观、 合理。

l 双引擎检测,速度快

基于动态分析和静态分析双引擎扫描,结合深度学习算法,全面发现 APP 安全问题, 包括安全漏洞、恶意行为、内容违规等方面。检测速度比同类型检测产品快数倍, 我方检测时间一般控制在 3 分钟以内。

l 结果准确度高,可移植可复用

覆盖程序执行的全路径,精准的数据流分析严格控制误报率和 漏报率。Android检测具有独有的服务器 API 安全检测,可对移动APP业务系统全逻辑覆盖,对移动应用4大类、100多项安全隐患进行全面检测;iOS检测覆盖应用信息、安全漏洞、风险信息、提示信息等多项检测内容。