华北热线  用户名: 密码:
首页|设为主页

梆梆安全------移动应用安全测评漫谈

来源:华北热线   日期:2014-12-29


    对于移动应用开发者而言,要想开发出一款好的APP产品需要过五关斩六将,从创意、架构设计、到代码撰写、内部测试、渠道发布。当开发者们怀着忐忑的心情、期盼着所开发出来的APP能够实现可观的下载时,却不知道,其所开发APP自身存在的安全隐患正在为盗版者、恶意攻击者大开“方便”之门。 

    实际上,绝大多数的应用开发者都不希望自己的APP无论是在应用上还是安全上存在任何漏洞。所以开发者们会在APP正式上线前进行多轮的测试,从内测到公测,α、β、γ测试版,试用版、Demo版、最终释放版……一个个版本型号意味着开发者对应用程序内部缺陷、错误的一次次封堵修正。即便如此,应用程序依然可能存在BUG。更不要说,大多数开发者本身并非专业安全人员,对于如何检测发现应用程序里的安全漏洞根本不知从何下手方可。 

    而如今,脆弱的移动领域已经成为恶意攻击者最佳的攻击跳板,作为移动领域主角之一的移动应用自然成为了骇客们的首选攻击目标。如果不能先于恶意攻击者提前发现应用所存在的安全漏洞并进行有效封堵,就会使得APP为恶意攻击者所利用,损害开发者的利益。有什么办法能让非安全专业的开发人员及时发现应用里的安全隐患?对这些开发人员进行安全培训?仅从时间要素上来看,绝对是来不及的节奏。此时最好的办法就是能有一款自动化的安全检查工具或者平台,比如梆梆安全的移动应用安全测评云平台。 

    对于绝大多数非安全专业出身的开发者而言,将其所开发的APP上传到自动安全检查工具(平台)里,稍加等待后即可获得详尽的安全报告,包括存在安全问题的代码,建议的解决办法等,这样开发者就可以参考安全报告里的信息,对存在安全隐患的环节进行调整、加固。这是最为理想的方式。 

    梆梆安全的移动应用安全测评云平台满足了应用开发者的绝对多数安全检测需求。 

    首先,开发者仅仅需要能够连接互联网、系统里有浏览器,就可以顺利登陆梆梆安全的移动应用安全测评云平台。然后上传自己所开发移动应用的APK文件,选择提交应用开始测评。耐心等待十来分钟(具体测试时间长短将视评测项目及APK文件情况而定)就能得到一份详尽的安全测评报告了。这里需要提醒一下,目前梆梆安全仅对文件大小为100M的移动应用进行自动检测,如果应用的APK文件超过这个大小需要联系其客服人员具体安排解决。 

    那么哪些安全测评项目可以通过云平台进行自动测评呢?安全检测里的所有项目,包括病毒检测、敏感行为检测、配置文件检测、权限检测、敏感词检测、广告检测、动态检测都属于自动测评范围。风险评估一共包含41项测评项目,其中代码保护、Java层调试、组件安全、敏感函数调用、调试日志函数、动态调试、动态注入、APP防篡改、明文数字证书风险这9项属于自动测评范围。漏洞扫描可以测评内网测试信息残留、下载任意APK、数据库注入、全局可读写的内部文件、webview远程代码执行、浏览器的intent scheme url攻击、手势密码绕过、被调用安装任意APK、被调用卸载任意APK、其他业务逻辑漏洞这10个项目,不过只有前两项属于自动测评范围。 

    风险评估和漏洞扫描的其他测评项目由于检测的复杂度因素,所以需要由人工进行。如果应用开发者有更高的安全测评需求,可以由专业渗透测试工程师进行更全面、深入的安全测评。 

    在系统自动生成的安全测评报告里,可以看到风险等级、测评详细结果、解决方案等详细的测评信息。开发者可以藉此对应用里的安全漏洞进行封堵。 

    一款好的移动应用要想避免被山寨、被反编译、被二次打包、被植入病毒,那么在正式发布之前做好安全测评工作极为重要。专业的人做专业的事,将APP的安全测评工作交给梆梆安全这类专业的移动应用安全企业,集中精力于改进APP的功能、性能上,这样才能为用户提供体验最佳同时也最为安全可靠的移动应用。 

    招募:凡对梆梆安全移动应用测评感兴趣的用户,可以发送邮件yi.wan@secneo.com联系相关工作人员。 


打印本页】【关闭窗口

| 相关新闻
| 网友评论
       网友                               评论        评论时间
 昵称:
 内容:  留言内容不得超过200字
 请输入验证码:  看不清?点击此处换一张