CTI論壇（ctiforum）12月3日消息（記者 李文杰）：在這個(gè)移動(dòng)的時(shí)代里，琳瑯滿目的各類應(yīng)用在不斷的誘惑著人們，但不斷涌現(xiàn)的應(yīng)用安全問(wèn)題也使得人們的信息時(shí)刻面臨泄漏風(fēng)險(xiǎn)。開發(fā)者們辛苦打造的精品應(yīng)用卻存在未知的安全風(fēng)險(xiǎn)，這將大大影響用戶對(duì)應(yīng)用的下載與使用。能在開發(fā)交付之前就先發(fā)現(xiàn)應(yīng)用中所潛藏的安全隱患么？

　　CNNIC發(fā)布的數(shù)據(jù)顯示2014上半年中國(guó)手機(jī)網(wǎng)民數(shù)量達(dá)5.27億，由此引發(fā)的移動(dòng)安全問(wèn)題也日益凸顯，特別是在第一大移動(dòng)操作系統(tǒng)平臺(tái)安卓中，安裝包逆向反編譯、惡意代碼注入、二次打包的盜版應(yīng)用、界面劫持、短信劫持、隱私竊取等不僅會(huì)導(dǎo)致用戶數(shù)據(jù)泄漏，而且使得正版應(yīng)用遭遇信任危機(jī)，開發(fā)者的知識(shí)版權(quán)等合法權(quán)益無(wú)法得到保證。

　　手機(jī)應(yīng)用安全問(wèn)題正在成為開發(fā)者們心中永遠(yuǎn)的痛，這也是整個(gè)應(yīng)用市場(chǎng)發(fā)展所面臨的重要問(wèn)題。而手機(jī)應(yīng)用安全的專業(yè)性，使得普通開發(fā)者無(wú)法全面了解APK中的安全漏洞和風(fēng)險(xiǎn)，難以對(duì)手機(jī)應(yīng)用的安全性作出深入評(píng)估分析，以期交付給用戶一個(gè)安全可靠的APP。在安全人才短缺的今天，移動(dòng)應(yīng)用的專屬安全工程師更是屬于“珍惜生物”行業(yè)。如何解決移動(dòng)應(yīng)用的安全審查難題？這個(gè)問(wèn)題的破局者就是梆梆安全為開發(fā)者推出的針對(duì)Android系統(tǒng)的手機(jī)應(yīng)用安全測(cè)評(píng)系統(tǒng)。該系統(tǒng)能夠幫助開發(fā)者對(duì)手機(jī)進(jìn)行全面安全測(cè)試評(píng)估，使開發(fā)者了解其應(yīng)用中存在的安全問(wèn)題，并且提出解決方案，幫助開發(fā)者提前規(guī)避應(yīng)用中可能存在的安全隱患。

　　梆梆安全所開發(fā)的移動(dòng)應(yīng)用安全測(cè)評(píng)系統(tǒng)以多個(gè)安全機(jī)構(gòu)所發(fā)布的安全規(guī)范（如，《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》、《電子銀行安全評(píng)估指引》、《移動(dòng)互聯(lián)網(wǎng)應(yīng)用軟件安全評(píng)估大綱》等）作為測(cè)評(píng)的主要標(biāo)準(zhǔn)，并結(jié)合了梆梆安全多年所累積的Android平臺(tái)應(yīng)用安全分析經(jīng)驗(yàn)，可以對(duì)Android平臺(tái)應(yīng)用進(jìn)行全方面的安全性測(cè)試評(píng)估，測(cè)評(píng)項(xiàng)目涵蓋目前Android平臺(tái)上各種主流的安全風(fēng)險(xiǎn)和漏洞。

　　梆梆安全的移動(dòng)應(yīng)用測(cè)評(píng)系統(tǒng)為開發(fā)者提供安全檢測(cè)、風(fēng)險(xiǎn)評(píng)估和漏洞掃描三類測(cè)評(píng)表項(xiàng)。

　　安全檢測(cè)主要查看APK應(yīng)用內(nèi)部行為是否符合安全規(guī)范，防范這些內(nèi)部行為所可能導(dǎo)致的信息泄露、權(quán)限混亂等問(wèn)題。包含病毒檢測(cè)、敏感行為檢測(cè)、配置文件檢測(cè)、權(quán)限檢測(cè)、敏感詞檢測(cè)等25項(xiàng)測(cè)評(píng)項(xiàng)目。

　　風(fēng)險(xiǎn)評(píng)估主要檢測(cè)APK當(dāng)前實(shí)現(xiàn)所可能面臨的外部攻擊風(fēng)險(xiǎn)，此類風(fēng)險(xiǎn)是目前APK應(yīng)用環(huán)境中常見(jiàn)的安全隱患，可以利用其進(jìn)行二次打包、盜取敏感數(shù)據(jù)等非法操作。風(fēng)險(xiǎn)評(píng)估包含加固殼識(shí)別、代碼保護(hù)、Java層調(diào)試、組件安全、敏感函數(shù)調(diào)用等41項(xiàng)測(cè)評(píng)項(xiàng)目。

　　漏洞掃描則會(huì)分析APK在業(yè)務(wù)實(shí)現(xiàn)中可被利用的技術(shù)漏洞，如數(shù)據(jù)庫(kù)注入、webview遠(yuǎn)程代碼執(zhí)行、業(yè)務(wù)邏輯漏洞等，黑客可以通過(guò)這些漏洞直接對(duì)應(yīng)用進(jìn)行攻擊，實(shí)現(xiàn)越權(quán)操作進(jìn)而破壞應(yīng)用。

　　梆梆安全移動(dòng)應(yīng)用測(cè)評(píng)系統(tǒng)完全針對(duì)于Android系統(tǒng)中的應(yīng)用程序本身，而且可以根據(jù)用戶級(jí)別提供自動(dòng)測(cè)評(píng)和人工測(cè)評(píng)兩種服務(wù)模式。

　　在自動(dòng)測(cè)評(píng)服務(wù)模式下，開發(fā)者只需將其APK文件提交至測(cè)評(píng)系統(tǒng)，測(cè)評(píng)系統(tǒng)將會(huì)自動(dòng)開始對(duì)APK主要安全指標(biāo)進(jìn)行測(cè)評(píng)，例如應(yīng)用使用是否存在冗余權(quán)限、敏感詞和廣告，是否存在反編譯、二次打包風(fēng)險(xiǎn)，是否存在數(shù)據(jù)庫(kù)注入漏洞等。測(cè)評(píng)結(jié)果包括每個(gè)測(cè)評(píng)項(xiàng)目的檢測(cè)目的、測(cè)評(píng)項(xiàng)目可能產(chǎn)生的危害、測(cè)評(píng)項(xiàng)目的詳細(xì)內(nèi)容以及相應(yīng)的解決方案。通過(guò)自動(dòng)化測(cè)評(píng)，開發(fā)者可以獲取當(dāng)前應(yīng)用面臨的主要安全問(wèn)題。自動(dòng)測(cè)評(píng)的響應(yīng)時(shí)間根據(jù)所提交的APK包大小有所差異，理論上單個(gè)APK包檢測(cè)時(shí)間不超過(guò)10分鐘，該系統(tǒng)可以滿足即時(shí)測(cè)評(píng)、即時(shí)得出報(bào)告的要求。

　　由于技術(shù)限制，目前Android平臺(tái)上存在的部分問(wèn)題無(wú)法通過(guò)自動(dòng)模擬的方式實(shí)現(xiàn)，例如界面劫持風(fēng)險(xiǎn)、雙因子認(rèn)證風(fēng)險(xiǎn)、第三方SDK風(fēng)險(xiǎn)、webview遠(yuǎn)程代碼執(zhí)行漏洞等，所以需要專業(yè)的滲透和逆向測(cè)試工程師為開發(fā)者提供人工測(cè)評(píng)項(xiàng)目。人工測(cè)評(píng)包含了自動(dòng)測(cè)評(píng)以及需要人工介入的所有項(xiàng)目，開發(fā)者只需要在系統(tǒng)中向梆梆安全提交人工測(cè)評(píng)申請(qǐng)即可。專業(yè)滲透測(cè)試工程師將會(huì)進(jìn)行全面的安全測(cè)評(píng)，或根據(jù)用戶特定需求進(jìn)行定制測(cè)評(píng)。人工測(cè)評(píng)的響應(yīng)時(shí)間根據(jù)所提交的APK包大小和業(yè)務(wù)邏輯，所需要的時(shí)間也不同。通過(guò)該測(cè)評(píng)系統(tǒng)提交人工測(cè)評(píng)申請(qǐng)，可以在2~3天內(nèi)完成所有人工測(cè)試，并且交付全面的正式測(cè)評(píng)報(bào)告。