CTI論壇（ctiforum）12月3日消息（記者 李文杰）：在這個移動的時代里，琳瑯滿目的各類應用在不斷的誘惑著人們，但不斷涌現(xiàn)的應用安全問題也使得人們的信息時刻面臨泄漏風險。開發(fā)者們辛苦打造的精品應用卻存在未知的安全風險，這將大大影響用戶對應用的下載與使用。能在開發(fā)交付之前就先發(fā)現(xiàn)應用中所潛藏的安全隱患么？

　　CNNIC發(fā)布的數(shù)據(jù)顯示2014上半年中國手機網(wǎng)民數(shù)量達5.27億，由此引發(fā)的移動安全問題也日益凸顯，特別是在第一大移動操作系統(tǒng)平臺安卓中，安裝包逆向反編譯、惡意代碼注入、二次打包的盜版應用、界面劫持、短信劫持、隱私竊取等不僅會導致用戶數(shù)據(jù)泄漏，而且使得正版應用遭遇信任危機，開發(fā)者的知識版權等合法權益無法得到保證。

　　手機應用安全問題正在成為開發(fā)者們心中永遠的痛，這也是整個應用市場發(fā)展所面臨的重要問題。而手機應用安全的專業(yè)性，使得普通開發(fā)者無法全面了解APK中的安全漏洞和風險，難以對手機應用的安全性作出深入評估分析，以期交付給用戶一個安全可靠的APP。在安全人才短缺的今天，移動應用的專屬安全工程師更是屬于“珍惜生物”行業(yè)。如何解決移動應用的安全審查難題？這個問題的破局者就是梆梆安全為開發(fā)者推出的針對Android系統(tǒng)的手機應用安全測評系統(tǒng)。該系統(tǒng)能夠幫助開發(fā)者對手機進行全面安全測試評估，使開發(fā)者了解其應用中存在的安全問題，并且提出解決方案，幫助開發(fā)者提前規(guī)避應用中可能存在的安全隱患。

　　梆梆安全所開發(fā)的移動應用安全測評系統(tǒng)以多個安全機構所發(fā)布的安全規(guī)范（如，《信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南》、《電子銀行安全評估指引》、《移動互聯(lián)網(wǎng)應用軟件安全評估大綱》等）作為測評的主要標準，并結(jié)合了梆梆安全多年所累積的Android平臺應用安全分析經(jīng)驗，可以對Android平臺應用進行全方面的安全性測試評估，測評項目涵蓋目前Android平臺上各種主流的安全風險和漏洞。

　　梆梆安全的移動應用測評系統(tǒng)為開發(fā)者提供安全檢測、風險評估和漏洞掃描三類測評表項。

　　安全檢測主要查看APK應用內(nèi)部行為是否符合安全規(guī)范，防范這些內(nèi)部行為所可能導致的信息泄露、權限混亂等問題。包含病毒檢測、敏感行為檢測、配置文件檢測、權限檢測、敏感詞檢測等25項測評項目。

　　風險評估主要檢測APK當前實現(xiàn)所可能面臨的外部攻擊風險，此類風險是目前APK應用環(huán)境中常見的安全隱患，可以利用其進行二次打包、盜取敏感數(shù)據(jù)等非法操作。風險評估包含加固殼識別、代碼保護、Java層調(diào)試、組件安全、敏感函數(shù)調(diào)用等41項測評項目。

　　漏洞掃描則會分析APK在業(yè)務實現(xiàn)中可被利用的技術漏洞，如數(shù)據(jù)庫注入、webview遠程代碼執(zhí)行、業(yè)務邏輯漏洞等，黑客可以通過這些漏洞直接對應用進行攻擊，實現(xiàn)越權操作進而破壞應用。

　　梆梆安全移動應用測評系統(tǒng)完全針對于Android系統(tǒng)中的應用程序本身，而且可以根據(jù)用戶級別提供自動測評和人工測評兩種服務模式。

　　在自動測評服務模式下，開發(fā)者只需將其APK文件提交至測評系統(tǒng)，測評系統(tǒng)將會自動開始對APK主要安全指標進行測評，例如應用使用是否存在冗余權限、敏感詞和廣告，是否存在反編譯、二次打包風險，是否存在數(shù)據(jù)庫注入漏洞等。測評結(jié)果包括每個測評項目的檢測目的、測評項目可能產(chǎn)生的危害、測評項目的詳細內(nèi)容以及相應的解決方案。通過自動化測評，開發(fā)者可以獲取當前應用面臨的主要安全問題。自動測評的響應時間根據(jù)所提交的APK包大小有所差異，理論上單個APK包檢測時間不超過10分鐘，該系統(tǒng)可以滿足即時測評、即時得出報告的要求。

　　由于技術限制，目前Android平臺上存在的部分問題無法通過自動模擬的方式實現(xiàn)，例如界面劫持風險、雙因子認證風險、第三方SDK風險、webview遠程代碼執(zhí)行漏洞等，所以需要專業(yè)的滲透和逆向測試工程師為開發(fā)者提供人工測評項目。人工測評包含了自動測評以及需要人工介入的所有項目，開發(fā)者只需要在系統(tǒng)中向梆梆安全提交人工測評申請即可。專業(yè)滲透測試工程師將會進行全面的安全測評，或根據(jù)用戶特定需求進行定制測評。人工測評的響應時間根據(jù)所提交的APK包大小和業(yè)務邏輯，所需要的時間也不同。通過該測評系統(tǒng)提交人工測評申請，可以在2~3天內(nèi)完成所有人工測試，并且交付全面的正式測評報告。