引言

移動應(yīng)用程序已經(jīng)成為了現(xiàn)代生活的重要組成部分，我們幾乎每天都在使用各種不同類型的應(yīng)用來滿足我們的需求，無論是社交、購物、娛樂還是工作。然而，隨著移動應(yīng)用的廣泛使用，APP及供應(yīng)鏈安全問題也引起了越來越多的關(guān)注。惡意軟件、數(shù)據(jù)泄露和其他供應(yīng)鏈攻擊威脅著移動應(yīng)用的安全性。

通付盾多年來致力于為企業(yè)提供軟件全生命周期安全工程解決方案，幫助企業(yè)提升軟件安全質(zhì)量，從軟件開發(fā)生命周期階段入手，通過機器學(xué)習(xí)、身份動態(tài)掃描、全網(wǎng)全時分區(qū)檢測等多個核心自研技術(shù)，構(gòu)建軟件質(zhì)量安全框架、軟件安全全生命周期安全解決方案，提升軟件安全級別，降低安全風(fēng)險。

通付盾北斗團隊建立APP的大數(shù)據(jù)庫，監(jiān)測300+APP分發(fā)渠道，收錄了常見的39類應(yīng)用及Web3應(yīng)用的數(shù)據(jù)信息，平臺已檢測分析了500多萬款應(yīng)用，分析版本達(dá)到1000萬+，采用深度機器學(xué)習(xí)技術(shù)和大數(shù)據(jù)分析技術(shù)，不斷提高檢測引擎“智力”，更加快速準(zhǔn)確定位安全風(fēng)險，涵蓋的數(shù)據(jù)緯度包括：APP基礎(chǔ)數(shù)據(jù)、渠道數(shù)據(jù)、安全數(shù)據(jù)、合規(guī)數(shù)據(jù)、運營數(shù)據(jù)等，深入全面透視APP市場數(shù)據(jù)及安全狀況，整合數(shù)據(jù)生成APP盡職調(diào)查報告。

圖表 1 APP盡職調(diào)查報告數(shù)據(jù)

通付盾APP盡職調(diào)查報告，向開發(fā)者和用戶提供便利的APP市場數(shù)據(jù)分析服務(wù)，幫助開發(fā)者和用戶全面掌握APP信息。采用數(shù)據(jù)分析引擎從APP版本情況、下載量、評論及評分、盜版仿冒情況等維護匯總、分析，進行趨勢化統(tǒng)計，以圖表、報告等形式更直觀量化的方式呈現(xiàn)，為開發(fā)者審核APP市場風(fēng)險、管理風(fēng)險、運營風(fēng)險等情況提供全面深入的數(shù)據(jù)參考支撐。

通付盾APP盡職調(diào)查報告的核心內(nèi)容：

建立安全模型，多維度分析APP安全合規(guī)問題

匯總分析APP的基礎(chǔ)數(shù)據(jù)，如包名、版本號、應(yīng)用簽名、發(fā)布時間、開發(fā)者、第三方SDK等信息為安全模型提供了重要的分析維度，以幫助檢測和解決安全問題。這些數(shù)據(jù)可以用于應(yīng)用的身份驗證、版本管理、漏洞檢測和合規(guī)性審查等方面。

唯一標(biāo)識：包名是一個應(yīng)用的唯一標(biāo)識符，因此可用于識別應(yīng)用的身份。在安全模型中，包名可用于驗證應(yīng)用的真實性，以防止冒充或偽造的應(yīng)用。

供應(yīng)鏈安全：包名還可用于追蹤應(yīng)用的供應(yīng)鏈，確保沒有不明來歷的組件被引入到應(yīng)用中。如果包名與應(yīng)用開發(fā)者或供應(yīng)商的信息不匹配，可能存在風(fēng)險。

版本管理： 版本號用于標(biāo)識應(yīng)用的不同版本。在安全模型中，版本號可用于確保用戶正在使用最新的、受安全漏洞修復(fù)的應(yīng)用版本。

身份驗證：在用戶安全驗證流程中，包名可以用于驗證應(yīng)用的真實性，確保用戶沒有下載到冒充應(yīng)用。

圖表2 APP基礎(chǔ)信息展示

依托APP大數(shù)據(jù)和實時分析能力，對應(yīng)用代碼進行審查，從編碼規(guī)范檢測、發(fā)布規(guī)范檢測、代碼安全檢測、環(huán)境安全審計檢測、組件安全檢測、數(shù)據(jù)安全檢測、安全漏洞檢測7個層級，對移動應(yīng)用進行安全檢測，針對應(yīng)用中潛在的安全風(fēng)險進行全面分析，以發(fā)現(xiàn)和修復(fù)潛在漏洞，分析應(yīng)用的后端API和服務(wù)，以防止惡意攻擊和濫用，幫助開發(fā)者提高對仿冒、不良、違規(guī)等風(fēng)險APP的識別能力，并向用戶進行預(yù)警提示。

圖表 3應(yīng)用安全漏洞風(fēng)險情況

識別第三方SDK，保障APP供應(yīng)鏈安全

開源生態(tài)帶來的正面效應(yīng)已在信息經(jīng)濟生活中發(fā)揮重要影響，如何在安全可控的情況下使用開源，已成為開源生態(tài)的關(guān)鍵任務(wù)。開源安全風(fēng)險防范措施應(yīng)貫穿軟件開發(fā)的整個生命周期。

供應(yīng)鏈安全問題是指攻擊者試圖在應(yīng)用的開發(fā)過程中或在分發(fā)渠道中植入惡意代碼或以其他方式破壞應(yīng)用的完整性。這些攻擊可能導(dǎo)致數(shù)據(jù)泄露、用戶隱私侵犯、應(yīng)用漏洞和其他安全問題。

圖表 4供應(yīng)鏈組件生命周期

SDK是Software Development Kit的縮寫，它是一組軟件工具和庫，旨在幫助開發(fā)者在應(yīng)用中添加特定功能或功能模塊。這些功能可以涵蓋各種領(lǐng)域，包括廣告、社交分享、支付處理、數(shù)據(jù)分析等。開發(fā)者可以選擇集成第三方SDK，而不必自己編寫和維護這些功能，從而加速應(yīng)用的開發(fā)過程。

圖表 5 SDK使用場景示意

SDK是獨立的軟件開發(fā)工具包，依附于APP運行，同樣具備收集用戶個人信息的能力。存在一類SDK，實際運行時行為遠(yuǎn)遠(yuǎn)超出了官方所描述的功能范圍，具有較強的隱蔽性，這類SDK依附APP運行非法收集用戶個人信息，用戶很難辨別收集行為是APP發(fā)起的還是SDK發(fā)起的，甚至是APP開發(fā)者也未必完全知曉。例如：之前《Vice》在一份報告中指出，Zoom App嵌入的Facebook 的SDK會向Facebook傳輸用戶手機型號、城市、廣告標(biāo)識符、IP地址等用戶個人信息。即使用戶沒有Facebook賬號，其個人信息也依舊會傳輸給Facebook。Zoom的隱私政策中也沒有告知Facebook SDK收集個人信息或Zoom App向Facebook SDK共享個人信息的情況。事件曝光后，Zoom不僅遭受較大的負(fù)面輿論影響，市值蒸發(fā)58億美元，股價下跌超6%，而且在美國加利福尼亞州遭到起訴。（此案例摘自：軟件開發(fā)包(SDK)安全與合規(guī)報告- 中國信息通信研究院、北京市環(huán)球律師事務(wù)所）

圖表 6 某第三方SDK組件漏洞

SDK經(jīng)常在APP背后收集用戶個人信息，這一類行為難以被發(fā)現(xiàn)，需要依托自動化的檢測引擎幫助識別。針對APP使用全過程進行監(jiān)測，依據(jù)權(quán)限檢測標(biāo)準(zhǔn)，主動發(fā)現(xiàn)APP及SDK存在的未經(jīng)授權(quán)擅自收集、過度和非必要收集、頻繁索權(quán)和強制收集、隱瞞第三方SDK收集行為、私自共享給第三方等問題，從而幫助用戶和開發(fā)者快速、準(zhǔn)確地檢測SDK中存在的敏感權(quán)限調(diào)用及過度個人信息收集。

圖表 7 第三方SDK檢測信息

通付盾APP盡職調(diào)查報告通過分析APP中集成的第三方SDK來保障移動應(yīng)用供應(yīng)鏈安全是一項重要任務(wù)。通付盾APP盡職調(diào)查報告中，持續(xù)監(jiān)控分析第三方SDK安全，有助于降低供應(yīng)鏈攻擊的風(fēng)險，保護應(yīng)用和用戶的安全。

多維度數(shù)據(jù)分析，實時掌握市場動態(tài)

移動應(yīng)用市場在過去幾年中取得了巨大的增長，成為數(shù)字領(lǐng)域的重要一環(huán)。隨著競爭加劇，開發(fā)者和企業(yè)需要實時了解應(yīng)用在整體市場和細(xì)分行業(yè)的情況，以制定更明智的決策。這正是多維度數(shù)據(jù)分析工具的價值所在，它們使用戶能夠查看用戶下載、用戶新增、評分評論等多維度數(shù)據(jù)指標(biāo)，從而掌握市場動態(tài)和競爭格局。

圖表 8 APP評分評論匯總

通付盾APP盡職調(diào)查報告支持多維度數(shù)據(jù)分析，把控行業(yè)競爭格局，實時了解APP在整體市場及細(xì)分行業(yè)的情況，查看用戶下載、用戶新增、評分評論等多維度數(shù)據(jù)指標(biāo)，掌握市場動態(tài)。通過合理利用這些工具，開發(fā)者和企業(yè)可以更好地應(yīng)對市場挑戰(zhàn)，制定更明智的推廣營銷策略，從而取得成功。

競爭分析：通過查看競爭對手的下載量、評分和評論，開發(fā)者可以了解他們在市場上的地位，為自己的策略做出調(diào)整。

用戶反饋：匯集各大應(yīng)用市場的評分、評論，可以提供有關(guān)應(yīng)用的用戶滿意度和不滿意度的見解，通過一個平臺全面剖析應(yīng)用評分和評論信息，開發(fā)者可根據(jù)這些信息改進應(yīng)用。

市場細(xì)分：多維度數(shù)據(jù)分析工具允許用戶將市場分成不同的細(xì)分行業(yè)，從而更好地了解應(yīng)用在各個行業(yè)中的表現(xiàn)。

應(yīng)用推廣：通過了解用戶的下載和新增情況，市場人員可以調(diào)整廣告營銷和推廣策略，以提高應(yīng)用的曝光度，獲取更多用戶。

圖表 9市場數(shù)據(jù)分析

數(shù)字身份認(rèn)證，每個APP都有一個數(shù)字證書

APP大數(shù)據(jù)庫中的應(yīng)用，都會通過安全檢測、隱私合規(guī)檢測，判斷滿足合規(guī)要求的，會結(jié)合區(qū)塊鏈的分布式數(shù)字身份技術(shù)，給APP頒發(fā)在鏈上的數(shù)字身份憑證，每個可信APP存在一個不可篡改的，用來標(biāo)識與管理的標(biāo)識信息。在工信部APP分類39類之外，率先引入Web3應(yīng)用分類，擁抱Web3.0時代。從APP分發(fā)、下載、安裝源頭確保APP安全、合法合規(guī)。

圖表 10 數(shù)字身份憑證

多重安全檢測標(biāo)記機制，對APP進行多維度全方面的深度檢測，防止APP“帶病上線”確保APP合法合規(guī)，安全標(biāo)記包括：APP是否加固、APP是否存在安全漏洞、APP是否存在違法違規(guī)行為。通過加大技術(shù)投入，不斷優(yōu)化APP安全檢測，切實保障APP安全和用戶利益。

圖表 11 APP證書信息

在架應(yīng)用巡檢、全網(wǎng)灰應(yīng)用監(jiān)測和渠道監(jiān)測機制，對存在風(fēng)險隱患的應(yīng)用做到100%復(fù)檢并定期抽檢，謹(jǐn)防應(yīng)用換皮、變臉等問題；對于在監(jiān)測中發(fā)現(xiàn)的風(fēng)險APP，在第一時間下架，同時向APP開發(fā)者發(fā)出風(fēng)險預(yù)警并協(xié)助APP開發(fā)者進行風(fēng)險處置。

通付盾APP大數(shù)據(jù)庫、綜合APP安全模型、和多維度APP盡職調(diào)查報告，能夠幫助企業(yè)更好地管理、運營APP應(yīng)用，降低APP應(yīng)用安全和合規(guī)性風(fēng)險。通過識別第三方SDK風(fēng)險以保障APP供應(yīng)鏈安全，以多維度數(shù)據(jù)分析為核心為企業(yè)提供更多的安全洞察和數(shù)據(jù)支持，全面保護用戶數(shù)據(jù)安全和提高應(yīng)用可信度，既關(guān)注應(yīng)用的安全性，也關(guān)注應(yīng)用的合規(guī)性，為企業(yè)提供了綜合的APP應(yīng)用安全解決方案，助力企業(yè)在競爭激烈的市場中脫穎而出，安全前行。