随着运营商新技术新业务的发展,运营商层面对安全的要求有所变化,渗透测试工作将会面临内容安全、计费安全、业务逻辑及APP等方面的挑战。随着运营商自主开发的移动APP越来越多,这些APP可能并不会通过应用市场审核及发布,其中的安全性将面临越来越多的挑战。
在海量的APP应用中,可能会遇到各种各样的威胁:木马、病毒、篡改、破解、钓鱼、二次打包、信息泄露、资源篡改、信息劫持等。
近日,工信部向社会公布了23款侵害用户权益行为的APP名单,对其进行了下架处理,这为其他APP企业敲了警钟。近年来国家在法律法规方面不断重拳出击,颁布多项法律法规,打击违法违规收取个人信息的行为,去年四部委联合开展行动,整治APP违法违规收集使用个人信息等行业乱象,效果显著。
《网络安全法》
《信息安全技术个人信息安全合规》
《网络信息内容生态治理规定》
《APP违法违规收集使用个人信息行为认定方法》
......
以金融行业为例,随着各项金融行业政策的下达,加上近日人民银行下发《关于开展竟然科技应用风险专项摸排工作的通知》等通知,各类银行对旗下的金融类APP加大排查力度,避免可能带来的各类风险。
但自我排查的过程并不顺利,为了满足相关监管部门的要求,对隐私政策、权限使用、行为风险等都做了相关检测,结果还是存在相应问题。这是为什么呢?
企业自主排查检测的不够专业、不够深入,再加上SDK的问题,APP开发者会引入SDK满足开发需求,这个SDK可能会借助合法的宿主APP执行恶意的操作:比如静默安装其他APP、偷传业务数据、获取用户隐私、恶意推送信息等,这两个问题都要深入检测才行,以免到时主管部门检查不合规,面临下架风险。
那么,问题来了!如何做到APP的风险管理以及合规检查呢?“心周企服·移动应用风险检测整体解决方案”迎运而生!通过智能自动化与人工相结合的检测方式,对APP进行预测评,实现APP的全方位风险监测。
心周企服基于多年移动安全的积累,针对各行各业面临的APP非法采集、分享、泄露等问题,推出“心周企服·移动应用风险检测整体解决方案”,=通过智能自动化与人工相结合的检测方式,对APP进行预测评,实现APP的全方位风险监测:
APP隐私政策合理性检测与分析
APP隐私权限使用权限检测与分析
APP风险行为检测与分析
金融科技应用风险专项摸排检测
抽检的方式有两种:
只抽APP持有单位所在地的,如北京抽北京公司各省和全国标准有略微区别, 抽检抽到以后测试 ,测试后会给整改周期,如果是已经被抽的企业可以推预测试(只给测试结果)或者预测试+整改方案(测试后给出整改方案并给与1-2次测试);如果是企业预防推去包年(针对某个APP的版本进行预测试,可避免工信部和工信部同测试平台的抽测,如其它平台抽检到问题,也给予整改方法以及建议)。
在基于标准环境自动化检测的基础上,我们还可以针对不是Android系统支持的,是厂家扩展的服务进行深度检测(如华为、推送、账号等)。
深入代码层,链式追踪,精准定位到违规/隐患代码,精准定位风险并进行溯源。
以自动测试为主,支持广度/深度/回放自定义,检测速度快。
