未标题-4
APP安全检测服务
源代码审计(Code Review)是由具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员对系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。源代码审计服务的目的在于充分挖掘当前代码中存在的安全缺陷以及规范性缺陷,从而让开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
服务介绍
华黔信安个人信息保护合规评估是为满足安全规范和法律的基本要求如《网络安全法》、《个人信息安全规范》《消费者权益保护法》、《关于开展App违法违规收集使用个人信息专项治理的公告》、《APP侵害用户权益专项整治行动的通知》等要求,进行的合规性评估服务
从APP运营者和监管部门角度出发,多方面对个人信息的收集、使用、存储、传输、行为和权利保障等多个方面,严格按照国家标准规范和监管发文,对移动应用进行全面合规检查,率先将监管检测要求运用到合规评估服务中,强制授权、过度索权、不给权限不让用、私自收集使用个人信息等,为企业和机构提供面向移动应用程序的全方位合规评估
个人信息保护合规评估支持Android、lOS、微信/支付宝小程序、SDK等多场景。报告将采用多种核心技术相结合,旨在帮助用户快速、准确地检测出其中存在的合规风险,敏感行为挖掘、流量数据解析,代码层挖掘漏洞。从而有效的帮客户解决问题
全国信息安全标准化技术委员会《GB/T35273-2020-信息安全技术个人信息安全规范》
全国信息安全标准化技术委员会《信息安全技术移动互联网应用程序(App)收集个人信息基本规范(征求意见)》
全国信息安全标准化技术委员会《移动互联网应用程序(App)收集使用个人信息自评估指南》
全国信息安全标准化技术委员会《移动互联网应用程序(APP)系统权限申请使用指引(征求意见稿)》
APP专项治理工作组《App申请安卓系统权限机制分析与建议》
工业和信息化部《关于开展APP侵害用户权益专项整治工作的通知(工信部信管函工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信中国信通院《小程序个人信息保护研究报告》
主要标准
158986778820443ac5af1771095d0427e8667e01bd688
APP安全检测依据
Android/IOS APP软件
包含9大项、38个检测子项
√隐私政策的独立性、易读性;
√清晰说明各类业务功能及所收集个人信息类型;
√清晰说明个人信息处置规则及用户权益保障;
√不应在隐私政策等文件中设置不合理条款;
√收集个人信息应明示收集目的、方式、范围;
√用户自主选择同意,不应存在强制捆绑授权行为;
√收集个人信息应满足必要性要求;
√支持用户注销账户、更正或删除个人信息;
√及时反馈用户申诉;
微信/支付宝小程序
包含9大项、38个检测子项
√隐私政策的独立性、易读性;
√清晰说明各类业务功能及所收集个人信息类型;
√清晰说明个人信息处置规则及用户权益保障;
√不应在隐私政策等文件中设置不合理条款;
√收集个人信息应明示收集目的、方式、范围;
√用户自主选择同意,不应存在强制捆绑授权行为;
√收集个人信息应满足必要性要求;
√支持用户注销账户、更正或删除个人信息;
√及时反馈用户申诉;
APP安全检测范围
基于安全漏洞扫描、恶意行为分析、图片违规检测、敏感词汇检测等多个引擎,严格按照国家标准规范,对移动应用进行全面安全检查,率先将深度学习方法运用到安全检测产品中,主动挖掘未知漏洞、发现恶意代码、后门程序等,为企业和机构提供面向移动应用程序的全方位安全检测服务。
隐私合规检测
15876057097880960dda38ee0cb7e9847f220213d7ce2
APl调用分析
提供真实使用场景下实际调用的APl信息及情况,对敏感行为进一步解释说明
应用安全检测
APP安全检测内容
15876057097880960dda38ee0cb7e9847f220213d7ce2
敏感API调用检测
对敏感API调用进行检测,检测范围包括敏感APl名称及调用位置
15876057097880960dda38ee0cb7e9847f220213d7ce2
内容违规检测
针对移动应用整体内容的违规检测方案,自动化检测移动应用中的黄赌毒、暴恐、涉政涉党等违规内容
15876057097880960dda38ee0cb7e9847f220213d7ce2
第三方SDK检测
对移动应用中集成的第三方SDK进行检测,保证应用检测全面无死角
15876057097880960dda38ee0cb7e9847f220213d7ce2
恶意行为检测
严格按照国家相关标准规定,通过自主研发的反病毒引擎,捕获恶意行为
15876057097880960dda38ee0cb7e9847f220213d7ce2
权限信息检测
统计应用请求的权限信息,并依照风险对其进行分级,进行有重点的排查,避免权限冗余造成额外风险
15876057097880960dda38ee0cb7e9847f220213d7ce2
安全漏洞检测
从多维度、百余项检测项,对应用中潜在的安全漏润进行全面分析,并给出合理整改建议
15876057097880960dda38ee0cb7e9847f220213d7ce2
权限合规分析
提供权限申请情况及真实使用场景下的实际调用行为及调用频率分析,比对其是否符合相关文件规范。并关联相关数据,提供对应截图等
15876057097880960dda38ee0cb7e9847f220213d7ce2
敏感数据存储及传输分析
对应用中的敏感数据使用行为进行分析,并提供调用位置与内容的分析
15876057097880960dda38ee0cb7e9847f220213d7ce2
第三方SDK分析
对第三方SDK的权限申请及调用情况、API调用情况、安全风险等内容进行全方位分析
15876057097880960dda38ee0cb7e9847f220213d7ce2
流量数据分析
对应用于动态检测过程中产生的流量数据进行分析,包括数据内容,数据流向等,并保留原始数据作为检测依据
15876057097880960dda38ee0cb7e9847f220213d7ce2
动态仿真检测
提供基于真实使用场景的动态检测引擎,并模拟真实用户的使用行为进行检测,保证检测过程贴合真实用户使用过程,准确性高
15876057097880960dda38ee0cb7e9847f220213d7ce2
敏感数据存储及传输分析
对应用中的敏感数据使用行为进行分析,并提供调用位置与内容的分析
15876057097880960dda38ee0cb7e9847f220213d7ce2
第三方SDK分析
对第三方SDK的权限申请及调用情况、API调用情况、安全风险等内容进行全方位分析
15876057097880960dda38ee0cb7e9847f220213d7ce2
权限合规分析
提供权限申请情况及真实使用场景下的实际调用行为及调用频率分析,比对其是否符合相关文件规范。并关联相关数据,提供对应截图等
15876057097880960dda38ee0cb7e9847f220213d7ce2
流量数据分析
对应用于动态检测过程中产生的流量数据进行分析,包括数据内容,数据流向等,并保留原始数据作为检测依据
15876057097880960dda38ee0cb7e9847f220213d7ce2
动态仿真检测
提供基于真实使用场景的动态检测引擎,并模拟真实用户的使用行为进行检测,保证检测过程贴合真实用户使用过程,准确性高
15876057097880960dda38ee0cb7e9847f220213d7ce2
安全漏洞检测
从多维度、百余项检测项,对应用中潜在的安全漏润进行全面分析,并给出合理整改建议
15876057097880960dda38ee0cb7e9847f220213d7ce2
权限信息检测
统计应用请求的权限信息,并依照风险对其进行分级,进行有重点的排查,避免权限冗余造成额外风险
15876057097880960dda38ee0cb7e9847f220213d7ce2
恶意行为检测
严格按照国家相关标准规定,通过自主研发的反病毒引擎,捕获恶意行为
15876057097880960dda38ee0cb7e9847f220213d7ce2
第三方SDK检测
对移动应用中集成的第三方SDK进行检测,保证应用检测全面无死角
15876057097880960dda38ee0cb7e9847f220213d7ce2
内容违规检测
针对移动应用整体内容的违规检测方案,自动化检测移动应用中的黄赌毒、暴恐、涉政涉党等违规内容
15876057097880960dda38ee0cb7e9847f220213d7ce2
内容违规检测
对敏感API调用进行检测,检测范围包括敏感APl名称及调用位置
01
渗透测试
02
漏洞扫描
03
代码审计
APP安全检测依据
帮助客户了解自身APP存在的安全缺陷及风险,为客户量身定做APP安全保护解决方案,全方面提升客户APP的安全防护能力
上网行为管理.软件禁用
保护应用不被静态分析和动态调试
客户收益
上网行为管理.软件禁用
保护应用内的敏感存储数据安全
上网行为管理.软件禁用
防止应用被进程注入
上网行为管理.软件禁用
防止应用被二次打包
上网行为管理.软件禁用
保护知识产权
上网行为管理.软件禁用
保护开发者收益
上网行为管理.软件禁用
保护应用内的敏感存储数据安全
上网行为管理.软件禁用
防止应用被进程注入
上网行为管理.软件禁用
防止应用被二次打包
上网行为管理.软件禁用
保护知识产权
上网行为管理.软件禁用
保护开发者收益