一种移动应用自动化安全检测的方法与流程

1.本发明涉及信息安全技术和移动安全应用技术领域，具体为一种移动应用自动化安全检测的方法。


背景技术：

2.近年来，移动互联网的飞速发展，智能移动终端生产成本的下降，其中智能手机作为与我们日常生活息息相关的一种高端移动设备，在人们学习、工作和生活中的普及率越来越高，一些大中型企业的办公系统也逐步的从pc端转移到手机端。同时，伴随着3g、4g时代的到来，手机终端的广大用户群体的良好体验正吸引着越来越多的开发及应用者参与到手机应用程序的开发和使用中来，但是部分免费开源的平台特性不仅给予了开发者更广阔的开发空间，也给使用者增加了许多安全隐患，即使有基于自主平台上开发的移动应用，也由于版本更新慢等原因，遭到黑客攻击，从而亦存在一定的安全隐患。
3.目前，在几大主流的智能手机平台中，google研发的android手机操作系统是迄今为止成长最快的智能手机操作系统，也是使用最为广泛的手机操作系统，同时也是安全隐患滋生最严重的开发平台，当然包括苹果的ios等其他操作系统，也是由于诸多原因，总能给黑客注入病毒提供可趁之机，另外智能手机里的用户隐私信息以及移动网络蕴含的巨大经济利益致使智能手机已经成为恶意软件制造者的新攻击目标，因此移动应用恶意软件数量急剧增长在所难免。
4.移动应用app迅猛膨胀性发展，同时移动应用市场的不规范性，致使移动应用安全面临空前的风险。而手机恶意软件的不断涌现，不仅使得用户的个人信息安全受到威胁，同时也给国家信息安全带来了重大安全隐患，甚至会给个人或者国家造成巨大的损失。为了大力提升我国在移动智能终端安全领域的竞争力，有效改善移动智能终端领域匮乏的安全检测平台的现状，保障移动互联网产业链的进一步健康、快速发展，同时也是对移动智能终端安全领域监管能力的体现，一个可以全方位多角度检测并深度挖掘移动应用安全隐患的技术也更显得意义深远、刻不容缓。


技术实现要素：

5.本发明的目的在于提供一种移动应用自动化安全检测的方法，以解决上述背景技术中提出的问题。
6.为实现上述目的，本发明提供如下技术方案：一种移动应用自动化安全检测的方法，包括如下步骤：
7.s1,选择需要检测的app样本；
8.s2,对app程序文件进行静态分析；
9.s3,对app程序中的相关数据集成情况进行分析，并与公开的cve漏洞库进行核对是否符合漏洞条件；
10.s4,将app程序安装在手机上；
11.s5,在手机上运行该app程序，并对手机中的敏感行为来源、通信数据进行监控，从而发现该app程序是否具备敏感行为以及通信数据是否安全；
12.s6,对该app程序进行非法操作，看该app程序是否具备相应的防御能力。
13.优选的，述步骤s6包括对该app程序进行重签名，再安装到手机上并运行，看该app程序是否具备防二次打包的能力。
14.优选的，所述步骤s6还包括对该app程序进行资源篡改，再安装到手机上并运行，查看该app程序是否具备防篡改的能力。
15.优选的，所述步骤s3中相关数据包括组件、代码和第三方sdk。
16.与现有技术相比，本发明的有益效果是：
17.本发明，深度挖掘移动应用app的安全隐患，针对检测报告的安全隐患进行处理并推广到市场，基本可以杜绝应用app被盗版、恶意篡改、嵌入代码、嵌入钩子等恶意行为，保证开发商的市场收益的稳定，而且还可以避免由于恶意行为给开发商和产品带来的不利传言，给开发商的产品带来良好的品牌效益。而作为移动应用开发商，他们有专业的移动应用开发团队，然而针对移动应用安全方面的经验并非是专业的。如果开发商投入一定的人力、物力来保证应用的安全，一方面较难达到专业安全团队的深度，另一方面为了保证应用的安全，开发商势必将投入一定的人力成本和时间成本。而专业的安全检测平台的产生，将节省开发商一定的人力和时间成本，同时还可以达到开发商自己可能无法达到的深度和广度。故而，应用开发商在使用安全检测平台进行安全检测，可以给开发商提供较大的便利的同时，还可以给开发商节约一定的人力、物力成本，时间成本，给开发商带来非常大的经济效益。
18.本发明，随着智能手机终端用户的不断普及，应用app慢慢被大众所熟知并普遍使用，再加上行业内市场的不规范性，致使移动应用安全面临空前的风险，而手机恶意软件的不断涌现，不仅使得用户的个人信息安全受到威胁，同时也给国家信息安全带来了重大安全隐患，甚至会给个人或者国家造成巨大的损失。移动应用安全检测技术的诞生，会让移动应用开发商真真切切的看到应用在哪些地方存在安全隐患，逐步提升应用开发商行业安全意识，并带着整个社会的移动应用安全意识的逐步加强。
19.本发明，随着社会对移动应用安全意思的不断提升，移动应用安全行业市场会进行整合，然而作为行业内的领头羊，应继续加大安全检测的力度和深度，从应用安全、代码安全、数据安全三大方面，对应用程序可能会出现漏洞的下载、安装、输入、输出、卸载等50多个功能项进行安全检测，以保证应用程序所有安全隐患尽可能被全部挖掘。安全检测平台是采用静态分析、动态分析的方式来实现所有可能出现漏洞功能项的覆盖，静态分析是程序通过解压并反编译app应用包，对可能出现的权限管理、sql注入、webview等方面进行代码扫描，并将出现漏洞或者不安全的地方进行切片保存；动态分析是程序通过运行中的程序对敏感信息是否有泄露、服务是否被攻击、文件目录是否被遍历等进行监控。
附图说明
20.图1是本发明的流程图。
具体实施方式
21.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
22.请参阅图1，本发明提供一种技术方案：一种移动应用自动化安全检测的方法，包括以下步骤：
23.选择需要检测的app样本；
24.对app程序文件进行静态分析；
25.对app程序中的组件、代码、第三方sdk集成情况进行分析，并与公开的cve漏洞库进行核对是否符合漏洞条件；
26.将app程序安装在手机上；
27.在手机上运行该应用程序，并对手机中的敏感行为来源、通信数据进行监控，从而发现该应用是否具备敏感行为以及通信数据是否安全；
28.对该应用进行重签名，再安装到手机上并运行，看该应用是否具备防二次打包的能力；
29.对该应用进行资源篡改，再安装到手机上并运行，查看该应用是否具备防篡改的能力。
30.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。


技术特征：
1.一种移动应用自动化安全检测的方法，其特征在于包括如下步骤：s1,选择需要检测的app样本；s2,对app程序文件进行静态分析；s3,对app程序中的相关数据集成情况进行分析，并与公开的cve漏洞库进行核对是否符合漏洞条件；s4,将app程序安装在手机上；s5,在手机上运行该app程序，并对手机中的敏感行为来源、通信数据进行监控，从而发现该app程序是否具备敏感行为以及通信数据是否安全；s6,对该app程序进行非法操作，看该app程序是否具备相应的防御能力。2.根据权利要求1所述的一种移动应用自动化安全检测的方法，其特征在于：所述步骤s6包括对该app程序进行重签名，再安装到手机上并运行，看该app程序是否具备防二次打包的能力。3.根据权利要求1所述的一种移动应用自动化安全检测的方法，其特征在于：所述步骤s6还包括对该app程序进行资源篡改，再安装到手机上并运行，查看该app程序是否具备防篡改的能力。4.根据权利要求1所述的一种移动应用自动化安全检测的方法，其特征在于：所述步骤s3中相关数据包括组件、代码和第三方sdk。

技术总结
本发明公开了一种移动应用自动化安全检测的方法，包括如下步骤：S1,选择需要检测的APP样本；S2,对APP程序文件进行静态分析；S3,对APP程序中的相关数据集成情况进行分析，并与公开的CVE漏洞库进行核对是否符合漏洞条件；S4,将APP程序安装在手机上；S5,在手机上运行该APP程序，并对手机中的敏感行为来源、通信数据进行监控，从而发现该APP程序是否具备敏感行为以及通信数据是否安全；S6,对该APP程序进行非法操作，看该APP程序是否具备相应的防御能力。本发明，可以给开发商提供较大的便利的同时，还可以给开发商节约一定的人力、物力成本，时间成本，给开发商带来非常大的经济效益。益。益。


技术研发人员：龙柏林
受保护的技术使用者：上海蛮犀科技有限公司
技术研发日：2021.05.26
技术公布日：2021/9/6