移动APP安全合规检测技术浅析

1、监管机构及政策

想要确保App安全合规，需要先了解相关政策法规。对于企业而言，App合规监管背后，主要涉及哪些监管机构？包括中央网信办、工业和信息化部、公安部和国家市场监管总局，由四部门在全国范围组织开展App违法违规收集使用个人信息专项治理活动。日常App开发中，主要是来自工信部的安全整改问题。

常见的法律法规包括《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《信息安全技术个人信息安全规范》、《常见类型移动互联网应用程序必要个人信息范围规定》等。

图1 移动安全相关法律法规

近几年，工信部不断开展推进App侵害用户权益专项整治行动，整治对象包括三大类，即App服务提供者（即应用软件，包括快应用和小程序等新应用形态）、软件工具开发包(SDK)提供者、应用分发平台。

下面是App典型违规问题分类：

• 违规收集用户个人信息方面，包括“私自收集个人信息”、“超范围收集个人信息”；
• 违规使用用户个人信息方面，“私自共享个人信息给第三方”、“强制用户使用定向推送功能”；
• 不合理索取用户权限方面，“不给权限不让用”、“频繁申请权限”、“过度索取权限”；
• 为用户账号注销设置障碍方面，即“账号注销难”。

2、检测手段

对App的安全合规检测手段除了工信部的定期抽查，自查手段包括人工检测、通过采购第三方的App漏洞扫描工具（目前第三方漏洞扫描产品有：爱加密、梆梆、360等），也有一些开源的第三方工具检测套件辅助使用。从技术形态上可以分为静态检测方案与动态检测方案，以下分别作简要介绍。

2.1 静态检测方案

静态检测方案基于反编译技术通过对移动应用的安装包反编译出代码文件，逐个扫描验证分析，主要对配置文件、源码文件、资源文件和so等文件进行静态扫描，检测移动应用中敏感权限申请及隐私相关API代码，生成精准可视化安全报告。