详情请进入 湖南阳光电子学校 已关注:人 咨询电话:0731-85579057 微信号:yp941688, yp94168
App已深入到用户的生活中,各类App应用程序迅速普及,瓜子二手摩托车市场,3万左右的太子摩托车,在促进经济社会发展、服务民生等方面发挥了重要作用。随着市场的快速迭代,2019最好的合资踏板摩托车,技术的不断创新,深夜机车飙车视频,App开发者为了提升产品研发效率、降低成本,经常嵌入第三方SDK(Software Development Kit ,软件开发工具包)以快速实现某些基础、特定的功能。
通付盾北斗团队对市面上的SDK做了深度分析与统计,SDK主要类型有以下几类:框架类、广告类、推送类、统计类、地图类、第三方登陆类、社交类、支付类、客服类、测试类、安全风控类、Crash监控类、人脸识别类、语音识别类、短信验证类、基础功能类等。各类App平均使用第三方SDK的数量在10个以上。例如,2020即将上市的国产摩托车,我们检测了某款App,适合中年人的太子摩托车,其用到的第三方SDK多达20多款。具体情况见以下图1。
图1 某App使用的第三方SDK情况
不难看出,SDK依附于App已渗入到各个行业的大量App中,SDK的生命周期取决于App的生命周期。SDK与App的关系可见图2。
图2 SDK使用场景示意图
SDK本身不具备运行能力,必须等待宿主App调用才能被执行,完成特定功能。
第三方SDK无疑给App开发者带来了极大便利,但与此同时SDK的安全与合规问题也逐渐漏出水面,1w左右的摩托跑车,SDK收集个人信息和安全问题也已得到了各方的关注。2019 年以来各监管部门均将SDK违法违规收集个人信息作为重点审查对象之一。涉及SDK安全与合规的主要标准、规范见下表1。
《GB/T 35273-2020 信息安全技术个人信息安全规范》
《JR/T 0171-2020 个人金融信息保护技术规范》
《网络安全标准实践指南—移 动互联网应用程序(App)收集使用个人信息自评估指南》
《移动应用软件SDK安全技术要求和测试方法》
《移动应用SDK安全指南》
《网络安全标准实践指南移动互联网应用程序(App)中的第三方软件开发工具包(SDK) 安全指引》
《常见类型移动互联网应用程序必要个人信息范围规定》
《信息安全技术 移动互联网应用程序(App)SDK安全指南》
表1涉及SDK安全与合规的主要标准、规范
近期RSAC2021落下帷幕,大功率摩托车视频大全,开125摩托车教学视频,RSAC沙盒大赛冠军是一家专注于代码安全的厂商,这说明供应链安全开始成为一个全球关注的热门新兴领域,这当然和美国供应链安全事件的大规模爆发是分不开的,前十名踏板车,同时从整个安全架构层面上来分析,供应链确实是目前安全最脆弱一环,摩托车铝合金三箱排名,从今年的HW数据来看,摩托车二手市场,有30%左右的攻击都是来自供应链,而供应链安全里最重要的一环就是源代码的安全治理。
下文从SDK自动化检测,以安全性与合规性两个层面重点展开描述,2019款铃木v125s踏板摩托车,简述相关检测原理。
SDK安全检测
被检测的SDK可以单独以jar、aar、zip、so等形式存在,如何网购摩托车,如何网购摩托车,也可以集成到具体应用中,在掌握全面的移动安全风险信息前提下,十款适合摩旅的踏板车,对SDK进行检测,二手125摩托车有人买吗,125摩托车卖废品多少钱,检测流程主要分为待检测包的预处理、特征扫描、数据处理三大步骤。
首先,摩托车商城,对应用程序安装包或者SDK包进行反编译,最值得买的一万摩托车,得到代码文件;
图3 某SDK反编译后部分代码
然后,雅马哈轻便摩托车,对反编译后的代码文件进行特征扫描,查找相应的符号特征信息,并与国家漏洞信息库进行完整的特征匹配,记录漏洞的特征信息、代码位置及风险信息;
最后,对特征扫描生成的漏洞信息数据集整合处理并生成检测报告,报告中可展示具体的安全风险问题、漏洞位置、修复建议等。
图4 SDK安全检测流程
SDK在开发时聚焦于功能实现而忽视了安全性,导致SDK本身存在安全漏洞。这些漏洞可被恶意攻击者利用,对嵌入该SDK的大量App及其最终用户的数据及隐私安全造成损害。我们对市场上主流App及SDK做了检测分析,第三方SDK相关的漏洞安全包括:编码规范检测、发布规范检测、代码安全检测、环境安全审计检测、组件安全检测、数据安全检测、安全漏洞检测7个层级,摩托600c赛车视频,60多项潜在的安全风险。
图5 某第三方SDK组件漏洞
下表2列出了主要的SDK安全漏洞。
序号风险类别序号风险类别序号风险类别
1硬编码安全21明文数字证书风险41本地拒绝服务攻击
2权限冗余22输入监听风险42Socket端口开放风险
3未使用地址空间随机化技术23调试日志函数泄露敏感数据漏洞43UnityGhost漏洞
4未使用编译器堆栈保护技术24SQLite未加密存储漏洞44Zip文件目录遍历漏洞
5Java层动态调试问风险25SDCard数据未加密漏洞45FFmpeg文件读取漏洞
6应用数据任意备份风险26SharedPreferences未加密存储漏洞46Intent scheme url漏洞
7调试日志函数调用风险27SharedPreferences读写安全漏洞47未移除有风险的webview系统隐藏接口
8内网IP残留28SQLite读写安全漏洞48动态加载DEX文件风险
9连接外部站点29应用内部存储文件安全漏洞49Fragment注入漏洞
10手机号残留30getDir数据全局可读写漏洞50Webview file域同源策略绕过漏洞
11邮箱残留31AES/DES弱加密风险51WebView组件忽略SSL证书 验证错误漏洞
12源代码反编译风险32WebView储存安全漏洞52下载任意apk
13混淆配置风险33通信数据安全漏洞53阿里云OSS凭证泄露
14So未保护34HTTP数据传输风险54Android数据库注入
15root环境运行风险35Https双向校验漏洞55应用克隆
16Java代码反调试保护36VPN连接建立风险56动态加载so文件风险
17模拟器运行风险37SSL通信服务端检测信任任意证书57so包含执行命令函数风险
18C层代码动态调试漏洞38SSL通信客户端检测信任任意证书58不安全的浏览器调用漏洞
19自定义权限滥用39随机数使用不当风险59ZipperDown漏洞
20RSA弱加密风险40WebView远程代码执行安全60HTTPS关闭主机验证漏洞
表2 SDK主要安全漏洞
App中嵌入的第三方SDK越多,一万五以内最好的街车,安全漏洞涉及的范围就会越广,摩托世界锦标赛视频,App开发者应当谨慎使用第三方SDK。值得一提的是:存在一类SDK利用动态加载技术实现远程控制恶意代码执行,因为恶意代码在本地不存在,执行时才被下载到本地执行,雅马哈轻便摩托车,逃脱了杀毒类软件的扫描,隐蔽性非常强,对最终用户造成了极大伤害。
SDK合规检测
一些常见的SDK,2019年一万元左右踏板摩托车,开125摩托车教学视频,如支付类SDK、导航类SDK,本身的功能就与个人信息有密切关系,世界摩托车大奖赛视频,2019年一万元左右踏板摩托车,摩托车评测视频网站,SDK常见搜集的信息包括手机设备信息(如IMEI、IMSI等设备唯一识别码)、网络信息(如IP地址、MAC地址、Wi-Fi热点等)、手机状态信息(如已安装/运行中的应用信息)、用户行为信息(如锁屏、安装、升级、卸载应用软件)、用户个人信息(如电话号码、地理位置、通话记录)等,有斗门牌摩托车转让,其搜集的信息范围很广泛。SDK作为App的一部分,有斗门牌摩托车转让,一万五以内最好的街车,附近二手摩托车500元,App需要对SDK的行为承担法律责任,世界公路摩托赛车视频,《数据安全管理办法(征求意见稿)》、《个人信息安全规范》、《移动互联网应用程序(App)收集使用个人信息自评估指南》明确指出App应如何处理与SDK的关系。
SDK经常在App背后收集用户个人信息,这一类行为难以被发现,需要依托自动化动态类的检测帮助识别,SDK依托于App运行,因此可以对App直接进行检测,找出SDK运行部分即可。
主要思路:定制化ROM及真机设备,在定制化ROM中加入探针和监听器,将App PUSH到定制设备中运行,通过脚本控制App在定制化ROM自动运行,遍历App全部功能,定制化ROM中的探针与监听器记录整个App运行过程中产生的数据、权限申请行为、数据采集行为等,摩托车锦标赛视频,依据权限检测标准,摩托车比赛视频震撼全场跑车,主动发现App及SDK未经授权擅自收集、过度和非必要收集、频繁索权和强制收集、私自共享个人信息给第三方等违规问题。定制化ROM+动态检测可准确地找出SDK中存在的敏感权限调用及过度收集个人信息行为。
图6 动态检测分析流程示意
下面提供了一组具体实现:
分析第三方SDK信息。通过逆向工具分析应用内smali文件、AndroidManifest.xml等关键信息,分析并获取应用包含的第三方SDK信息,珠海摩托车转让,如下图7
图7 某应用内包含的SDK列表
通过定制化ROM+动态检测收集运行时的权限调用情况、记录调用点、记录个人信息采集情况及其他运行数据。在权限调用事件分析基础上,对检测过程中权限调用事件与SDK进行匹配,3万左右的太子摩托车,8000内街车,2万元左右的摩托车,生成关联SDK的调用分析数据,晚上飙摩托第一视角,二手摩托车踏板车,可以检测到具体权限调用时间点、权限申请位置、权限申请目的等信息。如下图8和图9。
图8 运行时权限调用事件列表
图9 某SDK在应用运行时权限调用情况
从近期的安全事件中以及前期监管通报的案例中能够看到,多起案例均是App集成的SDK搜集个人信息,但没有在隐私政策提及SDK收集信息的动作,摩托车跑车商城,摩托世界锦标赛视频,最终导致监管通报批评,造成不良舆论,世界摩托赛车比赛视频,甚至App被直接下架,摩托车铝合金三箱排名,对业务造成影响。
通付盾北斗团队凭借自身在移动安全领域与隐私保护领域研发服务实力,摩托车夜间飙车视频,摩托车跑车商城,已将SDK安全与合规检测完全云服务化,通付盾云SDK检测服务依托于先进的动静双结合检测引擎技术,结合云真机检测平台,自动收集与分析市场上出现的SDK,2019最好的合资踏板摩托车,依据检测标准,6000左右最好摩托,十大摩托跑车排行榜,对各类App及SDK进行全面检测,真实夜晚摩托飙车,提供专业的检测报告和修改建议。
团队介绍
通付盾北斗团队(负责安全合规产品)于2013年成立,8年来专注于移动应用全生命周期的安全研究,摩托车跑车商城,积累了丰富的移动应用安全实战经验,一万五左右的街车,雅马哈8000左右的摩托,不断保持技术研发与创新,致力于为企业提供移动应用全生命周期安全工程解决方案。自研了符号执行、动态沙箱、大数据分析、VMP虚拟机保护、iPA动态壳保护等多个核心技术。团队所研发产品已服务于上千家各行业客户,深入到政府、军工、能源、金融、运营商、教育、医疗、传媒、交通、互联网等行业,2019新款雅马哈摩托车,为数十亿级移动终端提供了移动应用安全保障。其中移动应用安全合规检测成功服务国测、军测、公安和工信部,建设雅马哈2019年新车,实现国家级测评机构全覆盖。
“技术、安全、创新”
,2019款铃木v125s踏板摩托车,建设雅马哈2019年新车。黑水县制冷维修培训学校,黑水县制冷维修培训班,黑水县制冷维修学校,黑水县学制冷维修的学校,黑水县制冷维修培训哪里好,黑水县制冷维修培训学校,黑水县制冷维修短期培训班,黑水县制冷维修培训学校地址,黑水县学制冷维修培训,黑水县制冷维修培训哪里好,黑水县制冷维修培训班,黑水县制冷维修技术培训.(编辑:hnygdzxx888)
(整理:黑水县制冷维修培训学校)
湖南阳光电子学校教学特色
