梆梆安全App动态安全检测系统发布 助力个人隐私合规建设 – 作者:梆梆安全

梆梆安全发布App动态安全检测系统，实现了基于安全沙箱的动态安全检测技术，能够对App或其集成的SDK进行各类敏感行为的采集和分析，避免个人信息通过未授权的方式被不法分子收集或传播。

重拳出击，App个人信息收集不能太任性

2019年1月，四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，将在全国范围内组织开展App违法违规收集使用个人信息专项治理行动，该专项治理行动将贯穿2019年全年。2019年8月，全国信息安全标准化技术委员会发布《互联网应用收集个人信息基本规范》草案并向社会公开征求意见，这意味着App收集个人信息将面临“国标”约束。

2019年7月11日、16日，App专项治理工作组公布了评估中发现的部分问题App名单，其中包括10款App没有隐私政策，20款App要求用户一次性同意开启多个可收集个人信息权限，不同意则无法安装使用，40款App存在问题且未公开有效联系方式。

App个人信息专项治理的背后一方面是个人信息超范围收集和信息泄露日益猖獗，另一方面也是用户对个人隐私权利的重视程度达到前所未有的新高度。在新技术、新业态、新模式不断涌现的今天，对于个人信息的规范治理可以促进相关产业的健康持续发展。

借助工具，突破个人隐私合规检测困境

对于大部分App开发者来说，个人隐私合规整改这些事情已经势在必行。然而，“怎么改？要改哪些？改到什么程度”仍然是大部分开发者普遍面临的问题。一方面，个人隐私合规检测需要结合诸多法律法规标准的要求，仅与个人隐私数据相关的现行参照要求就有10多个，单靠人工检查，效率和效力都不能得到有效保障；另一方面，App大多集成了比较多的SDK，即使开发者在App上线前对App的个人隐私信息收集做了完善的检测，也难免第三方SDK这个让人又爱又恨的熊孩子出来捣乱，毕竟这些熊孩子自带成长机制。

做好个人隐私合规整改，除了专业的咨询服务，工具也是非常必要的！这里再介绍两个工具：

1、通过应用测评平台静态检测App隐私信息

梆梆安全应用安全测评平台能够帮助客户发现App的权限信息和第三方SDK信息，准确检测出应用的权限申请和使用情况，以及第三方SDK的权限和漏洞情况，呈现出应用和SDK的个人隐私现状。

2、通过App动态安全检测系统检测敏感信息实际使用情况

梆梆安全App动态安全检测系统，实现了基于安全沙箱的动态安全检测技术，能够对App或其集成的SDK进行各类敏感行为的采集和分析，避免个人信息通过未授权的方式被不法分子收集或传播。

三大行为分析还原个人隐私信息使用真相

App行为分析是使用行为分析来观察App在运行时的行为，并识别可能被攻击者利用的操作。App行为分析通常通过在移动设备模拟器或实际移动设备上运行应用程序来进行。

 梆梆安全移动应用动态安全检测系统采用真机进行App的运行时行为分析，利用动态安全沙箱技术，对App在运行时使用权限的行为及网络访问行为进行全面准确的监测，并将行为映射到应用程序与其他组件的交互。例如，行为分析不仅能够发现获取通讯录的行为，还可以对发送通讯录的行为进行识别和记录。

l 权限行为检测

通过静态检测，对应用申请的权限进行分析，并进行记录。

通过安全沙箱，对所有真实使用的权限调用行为进行采集、分析，并对其中的敏感行为和未授权行为进行独立处理，辅助用户对其进行安全排查和修复，避免个人信息被未授权收集。

l 访问行为检测

发现敏感、异常访问行为，辅助用户及时对其进行安全排查和修复，避免个人信息被未授权传播。

l 恶意行为智能拟合分析

在实际测试过程中，动态安全检测可以进行接近真机环境的检测，并且将多次检测数据进行拟合，生成完整检测报告，方便检测人员对大型检测任务的灵活处理。

四大核心优势提升个人隐私信息检测能力

梆梆安全动态安全检测系统基于真机检测将检测范围和准确性大大提升，有效避免由于接入第三方SDK所引发的供应链污染。

l 基于真机检测

检测运行在真机环境，避免被测程序的防模拟器功能影响测试进行，让使用者掌握最真实全面的行为信息

l 检测范围和准确性大幅提升

受益于动态安全沙箱技术，检测应用在沙箱中的行为被完整、准确地识别和记录，结果全面精准

l 不依赖特征

可以对没有既定威胁特征信息、检测逻辑的行为进行实际检测，发现其中敏感、攻击行为

l 无需逆向，降低检测操作门槛

将行为检测操作门槛从渗透测试降低为功能测试，随功能测试即可自动化输出行为分析报告

App检测的最终目标还是保护个人信息安全，防止应用或第三方SDK通过未授权权限或访问行为对个人信息进行采集。梆梆安全App动态安全检测平台可应用于以下场景中。

l 大型企业：提前发现未授权的权限使用和访问行为，避免合规风险

l 安全检测机构：个人信息保护合规检查

l App使用者：防止应用或第三方SDK的未授权个人信息采集

守好个人信息合规红线

大数据时代，每一个人在互联网中的画像都是“数据化”的。如何平衡好业务发展和隐私安全是当前面临的主要问题。随着个人信息保护法律法规标准的落地实施，“回头看”成为大部分开发者需要做的事情，从个人隐私政策到个人信息收集，需要做到从野蛮生长到秩序成长。梆梆安全近日还推出个人隐私保护解决方案，采用咨询服务+产品的组合方式，能够帮助企业的App、信息系统满足合规要求，提升企业在个人信息保护方面的相关能力，使得最终用户能够安心使用企业所提供的服务，让安全感伴随着业务一起到达消费者心里。

来源：freebuf.com 2019-08-22 17:55:23 by: 梆梆安全