立即咨询

电话咨询

微信咨询

立即试用
商务合作
免费试用

指掌易 灵鉴APP/SDK隐私威胁检测解决方案

指掌易灵鉴•APP/SDK隐私威胁检测平台,是指掌易研发的一款针对APP个人信息保护相关合规性检查的产品。为各类行业客户提供专业的移动应用风险检测服务,辅助通过相关监管机构的合规检查,增强移动端业务的运营安全和风险管理能力。
立即咨询
数字化产品代码安全合规指掌易 灵鉴APP/SDK隐私威胁检测解决方案
iconAPP风险主要为三类:个人隐私、恶意行为与安全漏洞icon
过度收集用户个人信息
无论是第三方SDK,还是是企业自研移动应用,均存在对个人信息过度获取、泄露、滥用等安全问题
执行恶意操作行为
第三方SDK可能借助合法的宿主APP执行恶意的操作:静默安装其他APP、偷传业务数据、获取用户隐私、恶意推送信息等
存在代码安全与漏洞
因第三方SDK、自研移动应用安全审查过程缺乏,安全意识薄弱,造成移动应用代码存在未知安全漏洞
icon实现APP风险管理,既是企业合规和内审的要求,也是业务可持续发展的要求icon
合规
需要适用于国家主管部门、行业监管机构的相关合规监管要求,顺应当前越来越严厉的个人信息保护趋势
内审
需要满足行业监管机构、集团总部、安全管理部门的定期内部安全审查、审核,符合内部安全管理规范
可持续
需要支撑业务移动化的发展需求,让安全问题不再困扰企业信息化建设,更移动应用开发更专注与业务自身演进
icon移动APP/SDK生命周期中侵犯个人信息威胁行为的闭环管理icon
iconAPP/SDK隐私威胁检测解决方案概览icon
icon安卓 VSS/IOS VSA沙箱技术icon
icon移动APP/SDK威胁行为检测广度icon
icon应用实时数据保护和权限管控icon
icon检测内容icon
APP/SDK隐私政策合理性检测与分析
通过自动化的深度检测分析,统计APP实际申请使用权限清单及权限申请的方式、时机、业务告知情况等信息; 通过对比APP实际申请使用权限的情况和隐私政策声明的业务功能及权限,识别两者之间的差异,并快速定位APP是否存在“过度索权”、“权限滥用”、“捆绑索权”、“一次性强制索权”等违法违规行为。
 
个人信息/隐私权限收集使用合规检测与分析
依据GB-T35273《信息安全技术个人信息安全规范》相关要求,采用AI语义分析识别技术,自动化快速判断APP隐私政策文本及框架的合规性; 依据《APP违规违法收集使用个人信息自评估指南》的32项检测要求,采用人工检查和动态检测技术相结合的方式,快速完成APP的自查自检。
 
 
APP/SDK风险行为检测与分析
监听APP及SDK的各类行为动作,根据业务实质及隐私政策声明判断识别APP及SDK的每一项行为是否合法合规。 重点检测并跟踪常见的高风险行为,如:敏感目录读写文件、获取APP安装列表、APP运行使用信息、向第三方服务传输数据、向境外传输数据、后台定位、扫描设备环境等。 精准定位风险行为的调用堆栈信息,提供详细的分析依据,方便开发人员快速排查和完善安全风险。
SDK成分及风险行为检测与分析
深度分析宿主APP中第三方SDK的引入情况,识别存在安全隐患的 第三方SDK并进行风险标记; 分析宿主APP与第三方SDK、第三方SDK之间的相互调用逻辑关系,协助研发人员辨别是否存在未知第三方SDK嵌套引入的安全隐患; 深度采集SDK的收集、使用个人信息行为,并结合国家相关标准规范进行业务及隐私政策合规性检查,并完成精准问题定位; 深度采集SDK的私自进行数据读写操作、私自后台定位获取位置信息、私自向第三方服务传输数据等恶意行为,并完成精准问题定位。
iconAPP/SDK隐私威胁检测的主要流程icon
icon检测分析SDK成分及调用逻辑关系icon
icon动态检测与静态检测相结合icon

动态分析通过模拟APP/SDK运行的操作,监测记录测试对象的行为,如权限申请、使用、网络通信、文件读写、进程操作等。通过对实际行为的分析检测软件是否可能存在权限过度申请、滥用、数据外泄、数据过境等风险。动态分析与静态分析相比,可覆盖部分通过静态分析无法发现的使用问题。

动态检测
分析应用的实际操作行为可能存在的风险隐患。
静态检测
分析应用的静态文件、权限声明等,检测可能存在的风险隐患。
icon跨平台、多设备检测icon
支持Android、iOS两个主流平台,手机、平板、手表等各种常见设备的风险检测能力。
iPhone手机
iPad平板电脑
iWatch智能手表
iPod touch智能设备
Android 智能手机
Android 平板电脑
Android 智能手表
icon深度SDK检测icon

支持针对APP中引入的第三方SDK、自研SDK进行风险检测,能够有效帮助客户放心引入第三方SDK、同时对外提供能力SDK。同时支持自动化检测与人工深度检测结合的方式。

SDK引入情况检测

遍历检测APP中存在的所有SDK,输出SDK清单。APP在开发过程中引入的第三方SDK可能存在嵌套集成的情况,经常出现引入A-SDK后,实际A又包括了B-SDK、C-SDK,这样往往给APP开发带来不可控的安全风险。

SDK调用关系检测

自动探知APP与SDK、SDK-SDK的调用关系,输出SDK关系脉络图。清晰梳理各元素之间的调用关系,排查是否存业务逻辑定义之外的调用逻辑,探知SDK之间潜在的风险行为。

SDK风险威胁检测

风险SDK告警提醒。根据SDK风险管理库,自动检测并标记引入SDK的风险等级,针对存在风险隐患的SDK进行告警提醒,同时提供风险SDK的替换方案建议。

icon多任务并行检测icon
强大的多任务并行检测能力
多设备并行检测
√真机阵列并行检测
√云手机(多台)并行检测
多系统版本并行检测
√Android 7、8、9、10多版本并行检测
√ioS 11、12、13多版本并行检测
icon开发平台开放对接icon
支持对接常见的开发/编译/测试平台,将风险行为检测过程与研发开发整体过程整合在一起,提高开发质量和效率。
支持对接自动构建测试平台: 如:Jenkins,Hudson 等
支持对接组件开发项目管理系统: 如:Maven、Ant、Cocoapods等
支持对接持续自动集成系统: 如:DevOps 等
icon指掌易解决方案的核心优势icon
融合性深度检测

在基于标准环境自动化检测的基础上,我们还可以针对不是Android系统支持的,是厂商扩展的服务进行深度检测(如:华为AI、推送、账号等)

代码级精准风险溯源

深入代码层,链式追踪,精准定位到违规/隐患代码,准确定位风险并进行溯源

快速检测

以自动测试为主,支持广度/深度/回放自定义,检测速度快

icon移动业务安全专家icon
icon移动业务安全专家icon
中国网络安全产业联盟
《移动办公及业务应用安全保障白皮书》
公安部信息安全等级保护评估中心
《等级保护2.0基本要求应用指南》 (移动互联安全扩展要求分册)
icon移动业务安全专家icon
移动端安全工作空间SEW
具备移动设备管理、移动应用管理、移动数据管理等能力,提供面向移动应用的隔离和策略管控
移动安全接入网关MAG
实现与移动端的透明应用级VPN安全传输,实现可信用户和设备认证准入
移动安全管理平台MBS
实现企业级应用生命周期管理、用户管理、设备管理、安全策略管理、审计管理等管理功能
移动安全态势感知平台MSA
实现移动业务场景全局态势感知和可视化呈现

产品推荐

卓豪DLP数据防泄漏设备控制软件
对于USB之类的任何可移动设备,数据盗窃都归因于一个步骤:将其插入 。ManageEngine Device Control Plus是一个全面的数据丢失防护解决方案,可帮助您控制、阻止和监视USB及外围设备未经授权的访问敏感数据。
免费试用
查看详情
腾讯云慧眼智能身份认证系统
慧眼-智能身份认证(腾讯云慧眼人脸核身,faceid)是一组对用户身份信息真实性进行验证审核的服务套件,提供人脸核身、身份信息核验、银行卡要素核验和运营商类要素核验等各类实名信息认证能力,以解决行业内大量对用户身份信息核实的需求,广泛应用于金融、运营商、共享出行等领域。
免费试用
查看详情
派得林工业底片扫描仪和智能评定系统
派得林工业底片扫描仪和智能评定系统,是一款集Diconde影像采集、影像智能评定、数据管理于一体的工业底片数字化管理系统。系统由第六代工业底片扫描仪和数据采集(含主机)、评定、管理软件两部分组成。 系统在第五代系统的基础上实现了高清高速并举的突破,引入自动化校准机制和智能化评定功能。
免费试用
查看详情
火山引擎云安全中心
云安全中心是字节跳动火山引擎旗下,面向云上租户的一个集资产管理、威胁检测、智能分析、协同响应于一体的云安全运营平台。为企业提供统一的安全防护与管理,通过入侵检测、资产暴露面测绘、漏洞扫描修复、配置风险检查等安全能力,保护云上主机和容器安全,帮助企业构建便捷的安全运营体系。
免费试用
查看详情