近几年新型信息基础设施建设和移动互联网技术的不断发展,移动APP数量也呈现爆发式增长,进而APP自身的“脆弱性”也日益彰显,这对移动用户的个人信息及财产安全带来巨大威胁和挑战。在此背景下,国家出台了多部法律法规,例如《数据安全法》、《个人信息保护法》、《网络安全法》等,来保障用户的个人权益,而且在今年1月11日的全国工业和信息化工作会议上,提及2023年的工作重点为完善电信业务市场发展政策,强化APP全流程、全链条治理,加强个人信息保护、用户权益保护。进一步增强网络和数据安全保障能力,加快安全产业创新发展。

所以,保护APP的安全性刻不容缓,通过对APP安全评估,降低和规避风险,保障应用正常上线,进而保障用户的信息安全。那么本期就来具体了解一下什么是APP安全评估,以及意义和流程有哪些?

一、什么是APP安全评估

APP安全评估则是一个具有高度针对性的技术评估服务,它的重点在于通过对网络通讯、服务器端、客户端、数据和业务逻辑等多个层面进行细致的梳理、测试和分析,发现APP业务方面面临的违规问题及安全漏洞。

检测对象

APP安全评估服务主要面向主流手机操作系统(包括但不限于:Android,IOS,Windows Phone,Symbian,Java等)上开发的移动应用。评估范围覆盖手机端应用程序及文件,服务器端承载环境及处理逻辑及手机端与服务端的网络通讯,分析应用存在的漏洞风险,共采集应用安全风险,重点关注业务安全。

二、APP安全评估的重要性

APP作为个人信息处理的重要载体,已成为监管重点,如不履行隐私合规义务,将会面临行政处罚与民事责任的双重后果。APP运营者需要主动合规、实质合规,以满足日益严格的监管要求。

相较于被动合规,主动合规能减少合规成本。APP运营者如果没有做好事前合规,可能会因隐私合规问题被监管通报、平台下架,此时的合规成本包括APP下架损失、罚款、用户流失和商誉受损等;如遇到权益保护意识较强的用户,则还会产生民事诉讼相关费用。而主动合规则在规避风险的同时,也能控制合规成本,避免因未能主动合规产生的损失。

三、APP安全评估的方法

APP安全评估从客户端程序,业务交互和承载环境三个方面开展。

客户端程序主要关注移动应用安装程序防反编译/汇编能力及恶意篡改等方面,通过人工结合自动化工具的方式进行评估;

承载环境主要包括移动应用服务端操作系统,数据库,中间件及服务端应用代码。通过漏洞扫描,配置检查和源代码审计测试方法进行全面评估;

业务交互方面采用天磊卫士“基于交互的威胁分析模型”对业务进行交互层面的数据流梳理,分析数据流经各个节点存在的受入侵面,最终导出详细的评估用例并完成评估。

1分钟了解什么是APP安全评估?以及具体评估办法_数据

基于交互的威胁分析模型

“基于交互的威胁分析模型”是通过将业务功能分解到HTTP的数据交互层面(一对request和response成为一次交互),从数据来源,数据载入,数据传输,数据处理,数据返回及数据的存储和使用角度,详细分析数据在每一个节点存在的受入侵面,最终导出针对性的测试用例的过程。