立即咨询

电话咨询

微信咨询

立即试用
商务合作

指掌易 灵鉴APP/SDK隐私威胁检测解决方案

指掌易灵鉴•APP/SDK隐私威胁检测平台,是指掌易研发的一款针对APP个人信息保护相关合规性检查的产品。为各类行业客户提供专业的移动应用风险检测服务,辅助通过相关监管机构的合规检查,增强移动端业务的运营安全和风险管理能力。
立即咨询
数字化产品代码安全合规指掌易 灵鉴APP/SDK隐私威胁检测解决方案
iconAPP风险主要为三类:个人隐私、恶意行为与安全漏洞icon
过度收集用户个人信息
无论是第三方SDK,还是是企业自研移动应用,均存在对个人信息过度获取、泄露、滥用等安全问题
执行恶意操作行为
第三方SDK可能借助合法的宿主APP执行恶意的操作:静默安装其他APP、偷传业务数据、获取用户隐私、恶意推送信息等
存在代码安全与漏洞
因第三方SDK、自研移动应用安全审查过程缺乏,安全意识薄弱,造成移动应用代码存在未知安全漏洞
icon实现APP风险管理,既是企业合规和内审的要求,也是业务可持续发展的要求icon
合规
需要适用于国家主管部门、行业监管机构的相关合规监管要求,顺应当前越来越严厉的个人信息保护趋势
内审
需要满足行业监管机构、集团总部、安全管理部门的定期内部安全审查、审核,符合内部安全管理规范
可持续
需要支撑业务移动化的发展需求,让安全问题不再困扰企业信息化建设,更移动应用开发更专注与业务自身演进
icon移动APP/SDK生命周期中侵犯个人信息威胁行为的闭环管理icon
iconAPP/SDK隐私威胁检测解决方案概览icon
icon安卓 VSS/IOS VSA沙箱技术icon
icon移动APP/SDK威胁行为检测广度icon
icon应用实时数据保护和权限管控icon
icon检测内容icon
APP/SDK隐私政策合理性检测与分析
通过自动化的深度检测分析,统计APP实际申请使用权限清单及权限申请的方式、时机、业务告知情况等信息; 通过对比APP实际申请使用权限的情况和隐私政策声明的业务功能及权限,识别两者之间的差异,并快速定位APP是否存在“过度索权”、“权限滥用”、“捆绑索权”、“一次性强制索权”等违法违规行为。
 
个人信息/隐私权限收集使用合规检测与分析
依据GB-T35273《信息安全技术个人信息安全规范》相关要求,采用AI语义分析识别技术,自动化快速判断APP隐私政策文本及框架的合规性; 依据《APP违规违法收集使用个人信息自评估指南》的32项检测要求,采用人工检查和动态检测技术相结合的方式,快速完成APP的自查自检。
 
 
APP/SDK风险行为检测与分析
监听APP及SDK的各类行为动作,根据业务实质及隐私政策声明判断识别APP及SDK的每一项行为是否合法合规。 重点检测并跟踪常见的高风险行为,如:敏感目录读写文件、获取APP安装列表、APP运行使用信息、向第三方服务传输数据、向境外传输数据、后台定位、扫描设备环境等。 精准定位风险行为的调用堆栈信息,提供详细的分析依据,方便开发人员快速排查和完善安全风险。
SDK成分及风险行为检测与分析
深度分析宿主APP中第三方SDK的引入情况,识别存在安全隐患的 第三方SDK并进行风险标记; 分析宿主APP与第三方SDK、第三方SDK之间的相互调用逻辑关系,协助研发人员辨别是否存在未知第三方SDK嵌套引入的安全隐患; 深度采集SDK的收集、使用个人信息行为,并结合国家相关标准规范进行业务及隐私政策合规性检查,并完成精准问题定位; 深度采集SDK的私自进行数据读写操作、私自后台定位获取位置信息、私自向第三方服务传输数据等恶意行为,并完成精准问题定位。
iconAPP/SDK隐私威胁检测的主要流程icon
icon检测分析SDK成分及调用逻辑关系icon
icon动态检测与静态检测相结合icon

动态分析通过模拟APP/SDK运行的操作,监测记录测试对象的行为,如权限申请、使用、网络通信、文件读写、进程操作等。通过对实际行为的分析检测软件是否可能存在权限过度申请、滥用、数据外泄、数据过境等风险。动态分析与静态分析相比,可覆盖部分通过静态分析无法发现的使用问题。

动态检测
分析应用的实际操作行为可能存在的风险隐患。
静态检测
分析应用的静态文件、权限声明等,检测可能存在的风险隐患。
icon跨平台、多设备检测icon
支持Android、iOS两个主流平台,手机、平板、手表等各种常见设备的风险检测能力。
iPhone手机
iPad平板电脑
iWatch智能手表
iPod touch智能设备
Android 智能手机
Android 平板电脑
Android 智能手表
icon深度SDK检测icon

支持针对APP中引入的第三方SDK、自研SDK进行风险检测,能够有效帮助客户放心引入第三方SDK、同时对外提供能力SDK。同时支持自动化检测与人工深度检测结合的方式。

SDK引入情况检测

遍历检测APP中存在的所有SDK,输出SDK清单。APP在开发过程中引入的第三方SDK可能存在嵌套集成的情况,经常出现引入A-SDK后,实际A又包括了B-SDK、C-SDK,这样往往给APP开发带来不可控的安全风险。

SDK调用关系检测

自动探知APP与SDK、SDK-SDK的调用关系,输出SDK关系脉络图。清晰梳理各元素之间的调用关系,排查是否存业务逻辑定义之外的调用逻辑,探知SDK之间潜在的风险行为。

SDK风险威胁检测

风险SDK告警提醒。根据SDK风险管理库,自动检测并标记引入SDK的风险等级,针对存在风险隐患的SDK进行告警提醒,同时提供风险SDK的替换方案建议。

icon多任务并行检测icon
强大的多任务并行检测能力
多设备并行检测
√真机阵列并行检测
√云手机(多台)并行检测
多系统版本并行检测
√Android 7、8、9、10多版本并行检测
√ioS 11、12、13多版本并行检测
icon开发平台开放对接icon
支持对接常见的开发/编译/测试平台,将风险行为检测过程与研发开发整体过程整合在一起,提高开发质量和效率。
支持对接自动构建测试平台: 如:Jenkins,Hudson 等
支持对接组件开发项目管理系统: 如:Maven、Ant、Cocoapods等
支持对接持续自动集成系统: 如:DevOps 等
icon指掌易解决方案的核心优势icon
融合性深度检测

在基于标准环境自动化检测的基础上,我们还可以针对不是Android系统支持的,是厂商扩展的服务进行深度检测(如:华为AI、推送、账号等)

代码级精准风险溯源

深入代码层,链式追踪,精准定位到违规/隐患代码,准确定位风险并进行溯源

快速检测

以自动测试为主,支持广度/深度/回放自定义,检测速度快

icon移动业务安全专家icon
icon移动业务安全专家icon
中国网络安全产业联盟
《移动办公及业务应用安全保障白皮书》
公安部信息安全等级保护评估中心
《等级保护2.0基本要求应用指南》 (移动互联安全扩展要求分册)
icon移动业务安全专家icon
移动端安全工作空间SEW
具备移动设备管理、移动应用管理、移动数据管理等能力,提供面向移动应用的隔离和策略管控
移动安全接入网关MAG
实现与移动端的透明应用级VPN安全传输,实现可信用户和设备认证准入
移动安全管理平台MBS
实现企业级应用生命周期管理、用户管理、设备管理、安全策略管理、审计管理等管理功能
移动安全态势感知平台MSA
实现移动业务场景全局态势感知和可视化呈现

产品推荐

阿里云对象存储OSS
阿里云对象存储OSS,基于阿里云盘古分布式系统,可抵御机架、机房级故障,最大12个9的高可靠性。可提供99.995%的可用性,可抵御机房级灾难,并提供异地容灾方案,提升业务持续性。云上自动扩容,支持EB级存储规模,万亿级文件数目。
免费试用
查看详情
阔知EduSoho企培系统
阔知 EduSoho 企培系统作为专业的企业数字化培训系统,它还是开源在线培训搭建系统,能灵活定制专属培训方案。从新员工入职到技能提升,提供丰富课程模板。借助强大功能,企业可高效组织培训,提升员工素养,增强企业竞争力,助力企业在市场中脱颖而出。
免费试用
查看详情
大道云行TaoCloud FAFS全闪文件存储系统
大道云行TaoCloud FAFS全闪文件存储系统,基于分布式全闪存储架构,通过元数据管理、数据组织、I/O 流程优化等多方面优化,可以有效释放全闪存介质的性能,实现海量文件访问的快速响应、持久稳定存储。满足需要存储系统提供超高访问带宽、大容量存储空间、以及通用文件访问接口,满足大量数据快速查看、编辑、分析处理、共享等多方面的需求。
免费试用
查看详情
盛世三人行残疾人安置服务
盛世三人行残疾人安置服务,专注残疾人就业服务领域,构建专业残疾人招聘管理系统与就业服务平台。提供一站式残疾人就业解决方案,涵盖岗位适配、技能培训、招聘对接及就业跟踪全流程,助力企业合规完成残疾人就业安置,提升社会责任感。依托智能化管理系统,精准匹配人岗需求,促进残疾人稳定就业,推动残障群体融入职场,是企业与残疾人就业双向赋能的可靠服务平台。
免费试用
查看详情