APP安全检测依据-APP安全检测范围-CMA测试报告

针对个人信息于移动应用使用环节频繁出现的泄露与窃取等现象，APP安全检测能有效帮助客户了解自身APP存在的安全缺陷及风险，为客户量身定做APP安全保护解决方案，全方面提升客户APP的安全防护能力。

一、APP安全检测主要标准依据

• 全国信息安全标准化技术《GB/T35273-2020-信息安全技术个人信息安全规范》
  

• 全国信息安全标准化技术《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(征求意见)》

• 全国信息安全标准化技术《移动互联网应用程序(App)收集使用个人信息自评估指南》

• 全国信息安全标准化技术《移动互联网应用程序(APP)系统权限申请使用指引(征求意见稿)》

• APP专项治理工作组《App申请安卓系统权限机制分析与建议》

• 工业和信息化部《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信中国信通院《小程序个人信息保护研究报告》

二、APP安全检测范围

1.Android/IOS APP软件，包含9大项、38个检测子项

• 隐私政策的立性、易读性;

• 清晰说明各类业务功能及所收集个人信息类型;

• 清晰说明个人信息处置规则及用户权益保障;

• 不应在隐私政策等文件中设置不合理条款;

• 收集个人信息应明示收集目的、方式、范围;

• 用户自主选择同意,不应存在强制捆绑授权行为;

• 收集个人信息应满足必要性要求;

• 支持用户注销账户、更正或删除个人信息;

• 及时反馈用户申诉;

2./支付宝小程序；包含9大项、38个检测子项

• 隐私政策的立性、易读性;

• 清晰说明各类业务功能及所收集个人信息类型;

• 清晰说明个人信息处置规则及用户权益保障;

• 不应在隐私政策等文件中设置不合理条款;

• 收集个人信息应明示收集目的、方式、范围;

• 用户自主选择同意,不应存在强制捆绑授权行为;

• 收集个人信息应满足必要性要求;

• 支持用户注销账户、更正或删除个人信息;

• 及时反馈用户申诉;

三、APP安全检测内容

基于安全漏洞扫描、恶意行为分析、图片违规检测、敏感词汇检测等多个引擎，严格按照国家标准规范，对移动应用进行全面安全检查，率先将深度学习方法运用到安全检测产品中，主动挖掘未知漏洞、发现恶意代码、后门程序等，为企业和机构提供面向移动应用程序的安全检测服务。

1、隐私合规检测

• APl调用分析：提供真实使用场景下实际调用的APl信息及情况，对敏感行为进一步解释说明

• 敏感数据存储及传输分析：对应用中的敏感数据使用行为进行分析，并提供调用位置与内容的分析

• 第三方SDK分析：对第三方SDK的权限申请及调用情况、API调用情况、安全风险等内容进行分析

• 权限合规分析：提供权限申请情况及真实使用场景下的实际调用行为及调用频率分析，比对其是否符合相关文件规范。并关联相关数据，提供对应截图等

• 流量数据分析：对应用于动态检测过程中产生的流量数据进行分析，包括数据内容，数据流向等，并保留原始数据作为检测依据

• 动态仿真检测：提供基于真实使用场景的动态检测引擎，并模拟真实用户的使用行为进行检测，检测过程贴合真实用户使用过程，准确性高

2、应用安全检测

• 安全漏洞检测：从多维度、百余项检测项，对应用中潜在的安全漏润进行全面分析，并给出合理整改建议

• 权限信息检测：统计应用请求的权限信息，并依照风险对其进行分级，进行有的排查，避免权限冗余造成额外风险

• 恶意行为检测：严格按照国家相关标准规定，通过自主研发的反病毒引擎，捕获恶意行为

• 第三方SDK检测：对移动应用中集成的第三方SDK进行检测，应用检测全面无死角

• 内容违规检测：针对移动应用整体内容的违规检测方案，自动化检测移动应用中的黄赌毒、暴恐、涉政涉党等违规内容

• 敏感API调用检测：对敏感API调用进行检测，检测范围包括敏感APl名称及调用位置

四、APP安全检测方式

渗透测试、漏洞扫描、代码审计

五、客户收益

• 帮助客户了解自身APP存在的安全缺陷及风险，为客户量身定做APP安全保护解决方案，全方面提升客户APP的安全防护能力

• 保护应用不被静态分析和动态调试

• 保护应用内的敏感存储数据安全

• 防止应用被进程注入

• 防止应用被二次打包

• 保护知识产权

• 保护收益