你的App距离安全发布,还差一个安全漏洞扫描

导读:随着互联网移动应用开发技术的成熟,应用市场上至今不断涌现着各行业各类型的移动App,帮助人们在日常生活和工作中解决问题,提升人们的生活效率。众多应用在为人们提供方便的同时,软件应用中的用户数据和信息安全隐患让人们焦虑,逐渐成为大家关注的重点。


自互联网兴起到成熟至今,利用软件漏洞攻击的网络事件频发,因此产生的损失和负面影响也日趋严重。每年全球因漏洞导致的经济损失巨大并且在逐年增加,显而易见的是,漏洞已经成为互联网安全的头部危害之一。各大企业和软件开发服务商,也逐渐开始重视软件安全的重要性,期望通过规避风险带来效益。

早在2016年,百度MTC就已经集成了百度安全扫描的能力,并正式推出为广大客户和软件开发服务商提供的安全漏洞扫描服务。如今,经历了多年的市场验证和技术沉淀,百度MTC重新升级了安全漏洞扫描服务,旨在为客户提供更加全面、深度的安全检测服务,上线后经过多次客户体验和反馈,得到了客户的好评和认可。

一、百度MTC×安全检测,全新升级服务


在应用安全检测方面,百度MTC针对以下企业客户所面临的需求场景和痛点,全新升级了安全漏洞扫描服务:

l 应用迭代快:产品迭代快,应用版本发布频繁,没有足够的精力去规避在应用迭代过程中的安全隐患,也无法保障应用发布后的安全性;
l 检测数量多:需要测试的软件多,导致安全检测管理问题难以发现,无法统一确保开发的众多软件均符合行业安全规范;
l 经验不足:没有足够专业的人才或人力投入,无法检测发现深层次的软件安全漏洞,且无法给出专业的修复建议帮助开发者快速定位问题,导致无法达到预期的交付效果。

二、安全漏洞扫描升级后具备哪些能力?


基于百度安全检测能力,升级后的安全检测服务,可满足对Android、iOS应用内部存在的安全风险进行检测。


Android应用检测功能架构
 
IOS应用检测功能架构

在应用安全检测的能力方面,采用了4大核心技术:
l 静态检测:以预设的安全问题特征为指导,通过静态的语法分析、控制流/数据流分析等技术,对应用的代码、配置、资源进行分析,发现潜在的安全风险;
l 动态检测:基于稳定性高、可扩展性强的硬件虚拟化技术,通过模拟真实攻击场景,检测应用对恶意攻击的防范能力;
l 内容检测:采用人工智能技术对应用内的图像、文本库进行检测,排查涉政暴恐、色情污秽等违规违法内容;
l 深度检测:自动化破解应用部分保护措施,发现深层次安全问题;

此次能力升级,在检测服务方面,可提供CVE漏洞、配置风险、密钥安全、敏感信息泄露、代码安全、应用安全等检测,可快速识别并精准定位漏洞风险类别;自动化生成可视检测报告,对各级别漏洞风险提供专业、详细的修复建议。

同时,APK文件检测可覆盖病毒检测、广告检测以及权限检测等基本的漏洞检测。



三、核心检测能力中,动态检测的技术方案是什么?

App动态检测通过云手机模拟真实攻击场景,检测app对恶意攻击的防范能力,可以发现应用运行时的风险,加强检测深度。百度云手机动态检测方案的优势主要有以下几点:


1. 效率高,环境易清理,检测速度更快、更准确
2. 可实时扩容,稳定响应大规模并发
3. 每个检测项均以插件形式开发,易扩展,可根据业务场景动态加载检测项
  
整体架构图

动态检测主要分为三个大模块:
· agent:用于接受的检测指令,可用于远程操作、监控app;
· server:管理调度动态检测使用的android设备,转发扫描端对agent下发的指令;
· 扫描端:Agent发起具体的检测任务;

Agent

Agent分为两个部分:普通权限的App(agent app)和root权限启动的系统进程(core service)。agent app用于接受server转发过来的各种检测指令,而core service通过binder为agent app提供高权限操作(调用系统隐藏api、以root权限创建进程)。

Agent能为扫描端提供如下能力:
1. 启动、重启、关闭指定app
2. 监控指定app的运行状态
3. 模拟点击
4. 以root权限执行shell命令
5. 上传/下载文件
6. 调用系统隐藏API

Server

agent启动后会主动连接到server,server会对所有的设备进行管理、调度,当扫描端连接到server后,server会调度可用的设备给扫描端,然后转发扫描端发送的检测指令。

扫描端

扫描端主要是一个Python SDK,每个检测项目均以插件的形式加载。借助该SDK和Agent,每个检测插件可以使用如下能力:
1. 上传/下载任意文件到Android设备
2. 远程反射调用Agent中的任意java方法
3. 远程以root权限在Android设备中创建进程
4. 远程调用Android设备中的系统隐藏API

借助上述能力,可以轻松的开发各种检测插件。
 

四、这么专业的检测服务需要哪些流程呢?


整个应用检测流程非常便捷,只需按照平台要求上传被检测文件(未加固的应用)即可自动检测,检测完成后便可呈现测试报告。检测完成最快只需半小时即可出结果,可预览线上报告,同时支持下载线下PDF报告。


报告样例

赶快点击安全漏洞扫描下单体验吧!

如果想了解更多测试服务,欢迎登录https://mtc.baidu.com。 


大咖招募
欢迎App研发/测试方面的大牛来投稿,开设专栏。我们提供丰厚的稿酬,预约个人专访,帮助建立个人技术品牌!
立即投稿

我要评论

字数不能超过140字,谢谢!
提交

评论({{allComments.length}})

{{comment.create_time.substr(0,16)}}

显示所有评论
复制成功!