爱内测之APP漏洞安全检测服务全解析

APP漏洞安全检测是深圳市爱内测科技有限公司（www.ineice.com）推出的云服务，针对移动应用行业可能出现的安全风险而推出的专业移动应用安全检测云服务平台，该平台将为移动应用APP提供多方位全面体检，并为移动应用开发商提供专业的安全加固数据依据。

爱内测针对APP提供标准和定制两种安全检测服务，不一样的安全检测服务提供不一样深度的安全漏洞报告和建议，经过报告能够发现APP漏洞，根据建议修复，避免安全问题。

  

1、标准检测解析

产品的标准检测做为免费版本，提供Android组件检测、权限管理、dex保护、数据安全检测，以及对危险调试信息等20项常见的漏洞风险等进行检测,并支持一键生成安全检测报告，为您的应用提供基本的安全体检。 

 

2、定制检测解析

产品的定制检测做为收费版本，提供出标准检测之外更全面更专业的安全检测功能，该版本将从应用安全、源码安全及数据安全方面对用户管理、版本升级、界面劫持、动态调试、进程保护、程序完整性、数据储存、数据传输等角度对移动应用作更全面的检测，涉及100多项检测项，自动检测与人工分析相结合为您的移动应用APP提供更全面的安全体检。 

 

3、检测方法解析

根据安全检测平台的规划，平台将采用静态、动态方式对应用程序进行分析，并最终将分析结果存入数据库，并实现一键生成报告的功能。

1.         将App包上传平台后，会经过数据库的黑白名单进行检测，检测该应用是否作过检测，若是已经作过检测，则直接反馈检测结果，如未作过检测，则继续下面操做。

2.         判断App包是否作过加密，若是已作相关加密，会经过加密方式获取加密厂商，从数据库里调取此加密厂商加密后的应用可能存在的风险，给予相关的检测数据，反馈结果。

3.         如若不曾加密，则经过对应用解压缩、反编译等处理，同时采用静态、动态方式对App进行应用安全性检测、源码安全性检测、数据安全性检测等。

4.         将检测结果存入数据库。

5.         生成安全检测报告，同时将该检测信息（黑白名单）更新入数据库。

6.         反馈检测结果。

 

静态分析： 利用apktool、dex2jar、jd-gui、smali2dex等静态分析工具对应用进行反编译，并对反编译后的java文件、xml文件等文件静态扫描分析，经过关键词搜索等静态方式将具备安全隐患的代码进行摘录并存入到检测平台后台，为后续的安全检测报告提供数据依据

 

动态分析：对应用软件安装、运行过程的行为监测和分析。检测的方式包括沙箱模型和虚拟机方式。虚拟机方式经过创建与Android手机终端软件运行环境几乎同样的虚拟执行环境，手机应用软件在其中独立运行，从外界观察应用程序的执行过程和动态，进而记录应用程序可能表现出来的恶意行为。

 

人工检测： 专业安全人员对待检测应用，对其进行安装、运行和试用，经过在试用过程当中，逐步掌握应用的特色，并经过专业经验，来圈定检测重点。人工专业检测在涵盖基础检测和深度检测的所有检测项的同时，兼顾侧重点检测，给予应用更全面、更专业、更贴合应用的量身打造的检测服务。