通付盾——金融科技安全行业领军品牌 风险决策平台 · 信用认证 · 多因子身份认证 · APP检测加固 技术专业 服务安全 体验快捷
QQ咨询 在线咨询 400-8318-116 免费申请试用
企业新闻
通付盾高级安全研究员宋超:APP审核机制与安全检测
来源:本站原创 时间:2015-12-24 作者:王丹

image/jpeg

122324日,在工业和信息化部的指导下“2015年移动智能终端峰会在京召开。为期两天的峰会以创动世界,智连万物为主题,解读产业推动政策、发布权威研究报告、展示最新研究成果、聆听企业发展心声。通付盾高级安全研究员宋超在今天举行的终端安全技术分论坛上发表了题为《App审核机制与安全检测》的演讲,分享移动终端应用安全现状、标准与技术。

随着移动互联网的发展,智能终端逐渐成为人们器官的延伸。如果移动终端是人类器官的延伸,那么App就是器官的血肉,血肉成长的过程中需要神经的感知。在终端和移动应用的发展历程中,App安全监测和审核就是这条事关App健康发展的神经。

安卓应用有非常独特的恶意行为——二次打包,不法分子下载热门App,插入一些恶意代码,通过反编的方式重新放回应用市场给普通的用户使用,很多的用户不具有分辨的能力,往往会中招。通付盾移动应用安全监测预警中心发现, 2015年第三季度,发现Android应用盗版数量达到29万个,漏洞数量达到12万多个,恶意威胁行为达到了一万多个,盗版应用主要分布于旅游出行,社交沟通,理财工具,游戏娱乐等等行业,这些行业用户量较多,普通用户由于安全意识较低,极其容易成为黑客攻击的目标。

从应用的角度可以看出,现在的移动应用安全性不高,很像十多年前的Windows平台,我们现在走在重功能轻安全的道路上。另外,企业缺乏合法的安全管控措施导致移动应用存在安全漏洞和隐患。

通付盾在中关村网络安全与信息化产业联盟中参与编写标准三——App安全管控。App开发者在将移动应用发布到市场之前,需通过官方机构进行应用安全审核,通过审核的应用重新返还给开发者,开发者可以自由选择发放到不同的软件应用市场。通过这样的方案来达到App可信和可靠的目的。

关于应用审核技术,目前常见的安全审计存在“无法覆盖所有的函数功能路径”与“资源消耗高”两个严重问题。通付盾基于符号执行静态分析方案,达到遍历所有函数功能路径的目的,然后通过敏感API定位和组合,实现对应用功能的定位以及对移动应用弱点的挖掘。除此之外,通付盾应用检测引擎对后端提供数据接口的API也进行安全扫描,保证服务器数据传输的安全。客户端的静态符号执行引擎,以及后端的数据API扫描,我们构建了目前应用监测的引擎。

移动互联网飞速发展,移动应用体量大、增速快,因此必须有快速的监测引擎实时跟踪各个应用市场以及应用的安全状况,保障移动应用本身与应用市场的安全性。



帮助文档
联系我们
  • 商务咨询:info@tongfudun.com
  • 售后服务:service@tongfudun.com
  • 市场合作:info@tongfudun.com
  • 英才招聘:jobs@tongfudun.com
  • 蓝海基金:bp@tongfudun.com
  • 联系电话:400-831-8116
随时随地了解通付盾动态 敬请关注:

通付盾
官方微博

通付盾
官方公众号