评测|APP漏洞，移动应用漏洞如何解决？_工信部|网络安全|底线|互联互

随着移动互联网的飞速发展，智能移动终端生产成本的逐渐下降，智能手机在人们学习、工作和生活中的普及率越来越高。手机终端的广大用户群体的良好体验正吸引着越来越多的开发及应用者参与到手机应用程序的开发和使用中来，但是部分免费开源的平台特性不仅给予了开发者更广阔的开发空间，也给使用者增加了许多安全隐患，即使有基于自主平台上开发的移动应用，也由于版本更新慢等原因，遭到黑客攻击，从而存在一定的安全隐患。

文章插图
【评测|APP漏洞，移动应用漏洞如何解决？】
Android和iOS系统作为目前市场最主流的移动操作系统，其应用种类、应用数量都在不断地增长。Android作为一个开放系统，应用程序的各种安全问题层出不穷，例如安装包逆向反编译，恶意代码注入，应用盗版，界面劫持，短信劫持，输入监听等。虽然iOS作为一个封闭系统以安全著称，但其中已经暴露出多种应用安全漏洞。由于iOS设备已经成为个人信息终端和主流的移动支付工具，其安全问题不容忽视，例如XcodeGhost感染漏洞、iBackDoor漏洞、ZipperDown漏洞、源码泄露、输入键盘劫持等。移动应用的这些安全问题不仅会泄露用户的个人信息，甚至会造成应用的知识产权盗用，使得名誉和经济受损。
当前移动智能终端领域虽然有众多的安全评测系统，但是大部分都存在识别率不高和效率过低的情况，为了改善此种情况，一个高效、快速并全方位多维度的评测与挖掘移动应用安全隐患系统的研究及研发更显得很有必要
功能架构蛮犀安全移动应用评测系统中功能主要由Web可视化前端、逆向引擎、漏洞库、风险库、基础工具、数据库以及文件系统组成（如下图所示），蛮犀安全移动应用评测系统对上传的移动应用进行包括针对目前移动应用源码层、应用层、系统层、数据层等，对应用安全弱点进行全面审核，及时发现应用存在的潜在风险与漏洞。

文章插图
蛮犀科技移动应用安全评测系统
参考依据蛮犀安全移动应用评测系统主要参考以下相关国家标准以及行业标准进行的研制开发：
1、《GBT22239-2019信息安全技术网络安全等级保护基本要求》
2、《信息安全技术移动智能终端个人信息保护技术要求》
3、《YD/T 1438-2006 数字移动台应用层软件功能要求和测试方法》
4、《YD/T 2307-2011 数字移动通信终端通用功能技术要求和测试方法》
5、《电子银行业务管理办法》
6、《电子银行安全评估指引》
7、《中国金融移动支付客户端技术规范》
8、《中国金融移动支付应用安全规范》
9、《移动互联网应用软件安全评估大纲》
10、《中华人民共和国网络安全法》
11、《移动互联网应用程序信息服务管理规定》
主要功能:1、安全检测
对病毒、木马、恶意代码、敏感权限调用、广告、恶意扣费等安全特征进行检测，以及对自身风险、漏洞进行定制化检测。
2、漏洞扫描
对应用程序进行静态漏洞扫描，并在模拟器中对应用进行实时漏洞攻击检测。
3、风险评估
对可能存在风险隐患的功能调用、系统组件、接口等方面进行安全评估，及时发现潜在风险。
4、解决建议
针对安全检测系统发现的各类安全问题，提供可靠的安全解决建议。

文章插图
蛮犀科技（http://www.manxi-inc.com）移动应用评测系统支持Android、iOS、小程序、SDK、轻应用等多场景。对上传的移动应用进行包括针对目前移动应用源码层、应用层、系统层、数据层等，对应用安全弱点进行全面审核，及时发现应用存在的潜在风险与漏洞，针对分析过程中评估标准、评估要点、评估方法、评估结果以及问题解决建议均进行详细的描述。