|
引言 移動(dòng)應(yīng)用程序已經(jīng)成為了現(xiàn)代生活的重要組成部分,我們幾乎每天都在使用各種不同類(lèi)型的應(yīng)用來(lái)滿足我們的需求,無(wú)論是社交、購(gòu)物、娛樂(lè)還是工作。然而,隨著移動(dòng)應(yīng)用的廣泛使用,APP及供應(yīng)鏈安全問(wèn)題也引起了越來(lái)越多的關(guān)注。惡意軟件、數(shù)據(jù)泄露和其他供應(yīng)鏈攻擊威脅著移動(dòng)應(yīng)用的安全性。 通付盾多年來(lái)致力于為企業(yè)提供軟件全生命周期安全工程解決方案,幫助企業(yè)提升軟件安全質(zhì)量,從軟件開(kāi)發(fā)生命周期階段入手,通過(guò)機(jī)器學(xué)習(xí)、身份動(dòng)態(tài)掃描、全網(wǎng)全時(shí)分區(qū)檢測(cè)等多個(gè)核心自研技術(shù),構(gòu)建軟件質(zhì)量安全框架、軟件安全全生命周期安全解決方案,提升軟件安全級(jí)別,降低安全風(fēng)險(xiǎn)。 通付盾北斗團(tuán)隊(duì)建立APP的大數(shù)據(jù)庫(kù),監(jiān)測(cè)300+APP分發(fā)渠道,收錄了常見(jiàn)的39類(lèi)應(yīng)用及Web3應(yīng)用的數(shù)據(jù)信息,平臺(tái)已檢測(cè)分析了500多萬(wàn)款應(yīng)用,分析版本達(dá)到1000萬(wàn)+,采用深度機(jī)器學(xué)習(xí)技術(shù)和大數(shù)據(jù)分析技術(shù),不斷提高檢測(cè)引擎“智力”,更加快速準(zhǔn)確定位安全風(fēng)險(xiǎn),涵蓋的數(shù)據(jù)緯度包括:APP基礎(chǔ)數(shù)據(jù)、渠道數(shù)據(jù)、安全數(shù)據(jù)、合規(guī)數(shù)據(jù)、運(yùn)營(yíng)數(shù)據(jù)等,深入全面透視APP市場(chǎng)數(shù)據(jù)及安全狀況,整合數(shù)據(jù)生成APP盡職調(diào)查報(bào)告。 圖表 1 APP盡職調(diào)查報(bào)告數(shù)據(jù) 通付盾APP盡職調(diào)查報(bào)告,向開(kāi)發(fā)者和用戶提供便利的APP市場(chǎng)數(shù)據(jù)分析服務(wù),幫助開(kāi)發(fā)者和用戶全面掌握APP信息。采用數(shù)據(jù)分析引擎從APP版本情況、下載量、評(píng)論及評(píng)分、盜版仿冒情況等維護(hù)匯總、分析,進(jìn)行趨勢(shì)化統(tǒng)計(jì),以圖表、報(bào)告等形式更直觀量化的方式呈現(xiàn),為開(kāi)發(fā)者審核APP市場(chǎng)風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、運(yùn)營(yíng)風(fēng)險(xiǎn)等情況提供全面深入的數(shù)據(jù)參考支撐。 通付盾APP盡職調(diào)查報(bào)告的核心內(nèi)容: 建立安全模型,多維度分析APP安全合規(guī)問(wèn)題 匯總分析APP的基礎(chǔ)數(shù)據(jù),如包名、版本號(hào)、應(yīng)用簽名、發(fā)布時(shí)間、開(kāi)發(fā)者、第三方SDK等信息為安全模型提供了重要的分析維度,以幫助檢測(cè)和解決安全問(wèn)題。這些數(shù)據(jù)可以用于應(yīng)用的身份驗(yàn)證、版本管理、漏洞檢測(cè)和合規(guī)性審查等方面。 唯一標(biāo)識(shí):包名是一個(gè)應(yīng)用的唯一標(biāo)識(shí)符,因此可用于識(shí)別應(yīng)用的身份。在安全模型中,包名可用于驗(yàn)證應(yīng)用的真實(shí)性,以防止冒充或偽造的應(yīng)用。 供應(yīng)鏈安全:包名還可用于追蹤應(yīng)用的供應(yīng)鏈,確保沒(méi)有不明來(lái)歷的組件被引入到應(yīng)用中。如果包名與應(yīng)用開(kāi)發(fā)者或供應(yīng)商的信息不匹配,可能存在風(fēng)險(xiǎn)。 版本管理: 版本號(hào)用于標(biāo)識(shí)應(yīng)用的不同版本。在安全模型中,版本號(hào)可用于確保用戶正在使用最新的、受安全漏洞修復(fù)的應(yīng)用版本。 身份驗(yàn)證:在用戶安全驗(yàn)證流程中,包名可以用于驗(yàn)證應(yīng)用的真實(shí)性,確保用戶沒(méi)有下載到冒充應(yīng)用。 圖表 2 APP基礎(chǔ)信息展示 依托APP大數(shù)據(jù)和實(shí)時(shí)分析能力,對(duì)應(yīng)用代碼進(jìn)行審查,從編碼規(guī)范檢測(cè)、發(fā)布規(guī)范檢測(cè)、代碼安全檢測(cè)、環(huán)境安全審計(jì)檢測(cè)、組件安全檢測(cè)、數(shù)據(jù)安全檢測(cè)、安全漏洞檢測(cè)7個(gè)層級(jí),對(duì)移動(dòng)應(yīng)用進(jìn)行安全檢測(cè),針對(duì)應(yīng)用中潛在的安全風(fēng)險(xiǎn)進(jìn)行全面分析,以發(fā)現(xiàn)和修復(fù)潛在漏洞,分析應(yīng)用的后端API和服務(wù),以防止惡意攻擊和濫用,幫助開(kāi)發(fā)者提高對(duì)仿冒、不良、違規(guī)等風(fēng)險(xiǎn)APP的識(shí)別能力,并向用戶進(jìn)行預(yù)警提示。 圖表 3應(yīng)用安全漏洞風(fēng)險(xiǎn)情況 識(shí)別第三方SDK,保障APP供應(yīng)鏈安全 開(kāi)源生態(tài)帶來(lái)的正面效應(yīng)已在信息經(jīng)濟(jì)生活中發(fā)揮重要影響,如何在安全可控的情況下使用開(kāi)源,已成為開(kāi)源生態(tài)的關(guān)鍵任務(wù)。開(kāi)源安全風(fēng)險(xiǎn)防范措施應(yīng)貫穿軟件開(kāi)發(fā)的整個(gè)生命周期。 供應(yīng)鏈安全問(wèn)題是指攻擊者試圖在應(yīng)用的開(kāi)發(fā)過(guò)程中或在分發(fā)渠道中植入惡意代碼或以其他方式破壞應(yīng)用的完整性。這些攻擊可能導(dǎo)致數(shù)據(jù)泄露、用戶隱私侵犯、應(yīng)用漏洞和其他安全問(wèn)題。 圖表 4供應(yīng)鏈組件生命周期 SDK是Software Development Kit的縮寫(xiě),它是一組軟件工具和庫(kù),旨在幫助開(kāi)發(fā)者在應(yīng)用中添加特定功能或功能模塊。這些功能可以涵蓋各種領(lǐng)域,包括廣告、社交分享、支付處理、數(shù)據(jù)分析等。開(kāi)發(fā)者可以選擇集成第三方SDK,而不必自己編寫(xiě)和維護(hù)這些功能,從而加速應(yīng)用的開(kāi)發(fā)過(guò)程。 圖表 5 SDK使用場(chǎng)景示意 SDK是獨(dú)立的軟件開(kāi)發(fā)工具包,依附于APP運(yùn)行,同樣具備收集用戶個(gè)人信息的能力。存在一類(lèi)SDK,實(shí)際運(yùn)行時(shí)行為遠(yuǎn)遠(yuǎn)超出了官方所描述的功能范圍,具有較強(qiáng)的隱蔽性,這類(lèi)SDK依附APP運(yùn)行非法收集用戶個(gè)人信息,用戶很難辨別收集行為是APP發(fā)起的還是SDK發(fā)起的,甚至是APP開(kāi)發(fā)者也未必完全知曉。例如:之前《Vice》在一份報(bào)告中指出,Zoom App嵌入的Facebook 的SDK會(huì)向Facebook傳輸用戶手機(jī)型號(hào)、城市、廣告標(biāo)識(shí)符、IP地址等用戶個(gè)人信息。即使用戶沒(méi)有Facebook賬號(hào),其個(gè)人信息也依舊會(huì)傳輸給Facebook。Zoom的隱私政策中也沒(méi)有告知Facebook SDK收集個(gè)人信息或Zoom App向Facebook SDK共享個(gè)人信息的情況。事件曝光后,Zoom不僅遭受較大的負(fù)面輿論影響,市值蒸發(fā)58億美元,股價(jià)下跌超6%,而且在美國(guó)加利福尼亞州遭到起訴。(此案例摘自:軟件開(kāi)發(fā)包(SDK)安全與合規(guī)報(bào)告- 中國(guó)信息通信研究院、北京市環(huán)球律師事務(wù)所) 圖表 6 某第三方SDK組件漏洞 SDK經(jīng)常在APP背后收集用戶個(gè)人信息,這一類(lèi)行為難以被發(fā)現(xiàn),需要依托自動(dòng)化的檢測(cè)引擎幫助識(shí)別。針對(duì)APP使用全過(guò)程進(jìn)行監(jiān)測(cè),依據(jù)權(quán)限檢測(cè)標(biāo)準(zhǔn),主動(dòng)發(fā)現(xiàn)APP及SDK存在的未經(jīng)授權(quán)擅自收集、過(guò)度和非必要收集、頻繁索權(quán)和強(qiáng)制收集、隱瞞第三方SDK收集行為、私自共享給第三方等問(wèn)題,從而幫助用戶和開(kāi)發(fā)者快速、準(zhǔn)確地檢測(cè)SDK中存在的敏感權(quán)限調(diào)用及過(guò)度個(gè)人信息收集。 圖表 7 第三方SDK檢測(cè)信息 通付盾APP盡職調(diào)查報(bào)告通過(guò)分析APP中集成的第三方SDK來(lái)保障移動(dòng)應(yīng)用供應(yīng)鏈安全是一項(xiàng)重要任務(wù)。通付盾APP盡職調(diào)查報(bào)告中,持續(xù)監(jiān)控分析第三方SDK安全,有助于降低供應(yīng)鏈攻擊的風(fēng)險(xiǎn),保護(hù)應(yīng)用和用戶的安全。 多維度數(shù)據(jù)分析,實(shí)時(shí)掌握市場(chǎng)動(dòng)態(tài) 移動(dòng)應(yīng)用市場(chǎng)在過(guò)去幾年中取得了巨大的增長(zhǎng),成為數(shù)字領(lǐng)域的重要一環(huán)。隨著競(jìng)爭(zhēng)加劇,開(kāi)發(fā)者和企業(yè)需要實(shí)時(shí)了解應(yīng)用在整體市場(chǎng)和細(xì)分行業(yè)的情況,以制定更明智的決策。這正是多維度數(shù)據(jù)分析工具的價(jià)值所在,它們使用戶能夠查看用戶下載、用戶新增、評(píng)分評(píng)論等多維度數(shù)據(jù)指標(biāo),從而掌握市場(chǎng)動(dòng)態(tài)和競(jìng)爭(zhēng)格局。 圖表 8 APP評(píng)分評(píng)論匯總 通付盾APP盡職調(diào)查報(bào)告支持多維度數(shù)據(jù)分析,把控行業(yè)競(jìng)爭(zhēng)格局,實(shí)時(shí)了解APP在整體市場(chǎng)及細(xì)分行業(yè)的情況,查看用戶下載、用戶新增、評(píng)分評(píng)論等多維度數(shù)據(jù)指標(biāo),掌握市場(chǎng)動(dòng)態(tài)。通過(guò)合理利用這些工具,開(kāi)發(fā)者和企業(yè)可以更好地應(yīng)對(duì)市場(chǎng)挑戰(zhàn),制定更明智的推廣營(yíng)銷(xiāo)策略,從而取得成功。 競(jìng)爭(zhēng)分析: 通過(guò)查看競(jìng)爭(zhēng)對(duì)手的下載量、評(píng)分和評(píng)論,開(kāi)發(fā)者可以了解他們?cè)谑袌?chǎng)上的地位,為自己的策略做出調(diào)整。 用戶反饋: 匯集各大應(yīng)用市場(chǎng)的評(píng)分、評(píng)論,可以提供有關(guān)應(yīng)用的用戶滿意度和不滿意度的見(jiàn)解,通過(guò)一個(gè)平臺(tái)全面剖析應(yīng)用評(píng)分和評(píng)論信息,開(kāi)發(fā)者可根據(jù)這些信息改進(jìn)應(yīng)用。 市場(chǎng)細(xì)分: 多維度數(shù)據(jù)分析工具允許用戶將市場(chǎng)分成不同的細(xì)分行業(yè),從而更好地了解應(yīng)用在各個(gè)行業(yè)中的表現(xiàn)。 應(yīng)用推廣: 通過(guò)了解用戶的下載和新增情況,市場(chǎng)人員可以調(diào)整廣告營(yíng)銷(xiāo)和推廣策略,以提高應(yīng)用的曝光度,獲取更多用戶。 圖表 9市場(chǎng)數(shù)據(jù)分析 數(shù)字身份認(rèn)證,每個(gè)APP都有一個(gè)數(shù)字證書(shū) APP大數(shù)據(jù)庫(kù)中的應(yīng)用,都會(huì)通過(guò)安全檢測(cè)、隱私合規(guī)檢測(cè),判斷滿足合規(guī)要求的,會(huì)結(jié)合區(qū)塊鏈的分布式數(shù)字身份技術(shù),給APP頒發(fā)在鏈上的數(shù)字身份憑證,每個(gè)可信APP存在一個(gè)不可篡改的,用來(lái)標(biāo)識(shí)與管理的標(biāo)識(shí)信息。在工信部APP分類(lèi)39類(lèi)之外,率先引入Web3應(yīng)用分類(lèi),擁抱Web3.0時(shí)代。從APP分發(fā)、下載、安裝源頭確保APP安全、合法合規(guī)。 圖表 10 數(shù)字身份憑證 多重安全檢測(cè)標(biāo)記機(jī)制,對(duì)APP進(jìn)行多維度全方面的深度檢測(cè),防止APP“帶病上線”確保APP合法合規(guī),安全標(biāo)記包括:APP是否加固、APP是否存在安全漏洞、APP是否存在違法違規(guī)行為。通過(guò)加大技術(shù)投入,不斷優(yōu)化APP安全檢測(cè),切實(shí)保障APP安全和用戶利益。 圖表 11 APP證書(shū)信息 在架應(yīng)用巡檢、全網(wǎng)灰應(yīng)用監(jiān)測(cè)和渠道監(jiān)測(cè)機(jī)制,對(duì)存在風(fēng)險(xiǎn)隱患的應(yīng)用做到100%復(fù)檢并定期抽檢,謹(jǐn)防應(yīng)用換皮、變臉等問(wèn)題;對(duì)于在監(jiān)測(cè)中發(fā)現(xiàn)的風(fēng)險(xiǎn)APP,在第一時(shí)間下架,同時(shí)向APP開(kāi)發(fā)者發(fā)出風(fēng)險(xiǎn)預(yù)警并協(xié)助APP開(kāi)發(fā)者進(jìn)行風(fēng)險(xiǎn)處置。 通付盾APP大數(shù)據(jù)庫(kù)、綜合APP安全模型、和多維度APP盡職調(diào)查報(bào)告,能夠幫助企業(yè)更好地管理、運(yùn)營(yíng)APP應(yīng)用,降低APP應(yīng)用安全和合規(guī)性風(fēng)險(xiǎn)。通過(guò)識(shí)別第三方SDK風(fēng)險(xiǎn)以保障APP供應(yīng)鏈安全,以多維度數(shù)據(jù)分析為核心為企業(yè)提供更多的安全洞察和數(shù)據(jù)支持,全面保護(hù)用戶數(shù)據(jù)安全和提高應(yīng)用可信度,既關(guān)注應(yīng)用的安全性,也關(guān)注應(yīng)用的合規(guī)性,為企業(yè)提供了綜合的APP應(yīng)用安全解決方案,助力企業(yè)在競(jìng)爭(zhēng)激烈的市場(chǎng)中脫穎而出,安全前行。 |
