(一)安全检测内容
- 身份认证机制检测
- 通信会话安全机制检测
- 敏感信息保护机制检测
- 日志安全策略检测
- 交易流程安全机制检测
- 服务端鉴权机制检测
- 访问控制机制检测
- 数据防篡改能力检测
- 防SQL注入能力检测
- 防钓鱼安全能力检测
- App安全漏洞检测
(二)安全测试工具
- 进程注入工具Inject
- HijackActivity劫持检测工具
- Jeb静态逆向分析工具
- APK反编译和打包工具apktool
- 数据抓包工具Tcpdump/Wireshark
- Android Hook框架Xposed
- 基于代理的抓包和分析工具Burpsuite
- 静态分析工具Androguard
- 安卓APK文件数据流分析工具FlowDroid
- 安卓应用逆向工具Android Killer
(三)个人隐私保护
《信息安全技术 移动互联网应用程序(App) 收集个人信息基本要求》规定
服务类型 | 最小必要权限 | |
1 | 地图导航 | 位置权限、存储权限 |
2 | 网络约车、餐饮外卖 | 位置权限、拨打电话权限 |
3 | 即时通信、博客论坛、网络支付、短视频、婚恋相亲、求职招聘、金融借贷、房屋租售、二手车交易、问诊挂号 | 存储权限 |
4 | 新闻资讯、网上购物、快递配送、交通票务、网页浏览器、输入法 | 无 |
5 | 运动健身 | 位置权限、传感器权限 |
6 | 安全管理 | 存储权限、获取应用账户、读取电话状态权限、短信权限 |