愛內測之APP漏洞安全檢測服務全解析

APP漏洞安全檢測是深圳市愛內測科技有限公司（www.ineice.com）推出的雲服務，針對移動應用行業可能出現的安全風險而推出的專業移動應用安全檢測雲服務平臺，該平臺將爲移動應用APP提供多方位全面體檢，併爲移動應用開發商提供專業的安全加固數據依據。

愛內測針對APP提供標準和定製兩種安全檢測服務，不一樣的安全檢測服務提供不一樣深度的安全漏洞報告和建議，經過報告能夠發現APP漏洞，根據建議修復，避免安全問題。

  

1、標準檢測解析

產品的標準檢測做爲免費版本，提供Android組件檢測、權限管理、dex保護、數據安全檢測，以及對危險調試信息等20項常見的漏洞風險等進行檢測,並支持一鍵生成安全檢測報告，爲您的應用提供基本的安全體檢。 

 

2、定製檢測解析

產品的定製檢測做爲收費版本，提供出標準檢測之外更全面更專業的安全檢測功能，該版本將從應用安全、源碼安全及數據安全方面對用戶管理、版本升級、界面劫持、動態調試、進程保護、程序完整性、數據儲存、數據傳輸等角度對移動應用作更全面的檢測，涉及100多項檢測項，自動檢測與人工分析相結合爲您的移動應用APP提供更全面的安全體檢。 

 

3、檢測方法解析

根據安全檢測平臺的規劃，平臺將採用靜態、動態方式對應用程序進行分析，並最終將分析結果存入數據庫，並實現一鍵生成報告的功能。

1.         將App包上傳平臺後，會經過數據庫的黑白名單進行檢測，檢測該應用是否作過檢測，若是已經作過檢測，則直接反饋檢測結果，如未作過檢測，則繼續下面操做。

2.         判斷App包是否作過加密，若是已作相關加密，會經過加密方式獲取加密廠商，從數據庫裏調取此加密廠商加密後的應用可能存在的風險，給予相關的檢測數據，反饋結果。

3.         如若不曾加密，則經過對應用解壓縮、反編譯等處理，同時採用靜態、動態方式對App進行應用安全性檢測、源碼安全性檢測、數據安全性檢測等。

4.         將檢測結果存入數據庫。

5.         生成安全檢測報告，同時將該檢測信息（黑白名單）更新入數據庫。

6.         反饋檢測結果。

 

靜態分析： 利用apktool、dex2jar、jd-gui、smali2dex等靜態分析工具對應用進行反編譯，並對反編譯後的java文件、xml文件等文件靜態掃描分析，經過關鍵詞搜索等靜態方式將具備安全隱患的代碼進行摘錄並存入到檢測平臺後臺，爲後續的安全檢測報告提供數據依據

 

動態分析：對應用軟件安裝、運行過程的行爲監測和分析。檢測的方式包括沙箱模型和虛擬機方式。虛擬機方式經過創建與Android手機終端軟件運行環境幾乎同樣的虛擬執行環境，手機應用軟件在其中獨立運行，從外界觀察應用程序的執行過程和動態，進而記錄應用程序可能表現出來的惡意行爲。

 

人工檢測： 專業安全人員對待檢測應用，對其進行安裝、運行和試用，經過在試用過程當中，逐步掌握應用的特色，並經過專業經驗，來圈定檢測重點。人工專業檢測在涵蓋基礎檢測和深度檢測的所有檢測項的同時，兼顧側重點檢測，給予應用更全面、更專業、更貼合應用的量身打造的檢測服務。