前面的文章里我们已经讲过了移动安全需要检测的内容,那下一步我们要怎么进行检查呢?我们也是按照移动应用的特点分成了两大块,一块是App客户端的安全测试,另一块是App服务端的安全测试。
针对App客户端的安全测试,首先通过App逆向之后,进行静态反编译及分析。还有动态的一些调试分析,目前市面上也有很多专业的工具可以进行漏扫。App渗透测试,这块也是针对App端模拟黑客攻击,去查找一些主流漏洞。还有一个是源码审核,可以针对源代码以及反编译后的代码进行审核分析以及业务层面的一些分析。
App服务端的安全检测类似于PC端的安全测试,可以通过漏洞扫描、web渗透测试、静态检查和动态分析来发现存在的安全问题。
接下来我们详细来看一下个人信息安全检测。
上面我们也提到过这个标准,《信息安全技术 个人信息安全规范》,这个强制标准里面列举了一些个人信息的收集、存储、使用以及转让、共享等规定。这是个人信息安全检查的一个标准。
下面给大家分享一个《App违法违规收集使用个人信息行为认定办法》的一个通知,这个通知里列举了一些认证方法。
如果我们需要检查自己的App有没有违法行为,有没有违规收集用户的信息,可以对照着这个认定方法去逐项地确认。大家也可以从国家网信办的官网上去查找这个认定方法。
19年我们也配合公安部进行了多次检查,下面就给大家分享一个关于App违法违规收集使用个人信息的自评估指南。自己的App在安全性上,违规收集使用个人信息了吗?我们也可以针对这个指南里所列的项去进行一个自评估,有没有不符合的。
