01

导读

恒安嘉新暗影移动安全实验室提供专业的移动恶意程序检测、安全漏洞检测、仿冒应用检测、涉诈应用检测、违法违规应用检测等服务。在日常与客户交流过程中，我们发现客户常常对这几个内容的区别不太了解，经常会问什么是恶意程序，检测标准是什么？什么是风险漏洞？什么又是仿冒应用？什么又是涉诈应用，有没有什么检测依据？什么又是违法违规检测？他们之间有什么区别，具体内容是什么，为了解答这些疑惑，本文就从以下五个方面进行全面剖析。

（一） 什么是移动互联网恶意程序？

（二） 什么是风险漏洞检测？

（三） 什么是仿冒应用程序？

（四） 什么是涉诈应用程序？

（五） 什么是违法违规程序？

 

02

什么是移动互联网恶意程序？

依据YD/T 2439-2012《移动互联网恶意程序描述格式》行业标准，如图2-1所示，当一个可运行于移动终端上的程序具有《移动互联网恶意程序描述格式》3.2 节所述一种或多种行为属性时，可判定为移动互联网恶意程序。

图2-1移动互联网恶意程序描述格式

      移动互联网恶意程序按照行为分为8大属性，分别是恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈，流氓行为。按照风险等级，恶意扣费、信息窃取、远程控制三类属于高危；恶意传播、资费消耗、系统破坏属于中危；诱骗欺诈和流氓行为属于低危。

       详细请参考YD/T 2439-2012《移动互联网恶意程序描述格式》。

03

什么是风险漏洞检测?

     移动互联网应用程序（简称：App）风险漏洞检测，从广义上来讲，就是针对待检测App文件，利用已知的漏洞特征进行检测，风险漏洞检测并没有特别明确的行业标准，每个企业检测的依据都不一致，我们是主要从程序代码安全、组件安全、通信安全、数据存储安全、内部数据交互安全、业务交互安全、安全策略和漏洞检测八大方面，涉及78个小检测点，如表3-1所示部分内容，采用自动化+专家服务模式，检查完毕后，给出专业的检测报告，针对问题项，提供对应的修复建议。目前，支持Android、IOS、小程序三大平台。

     表3-1 部分详细的检测项目

序号	检测项
基本信息检测
1	基本信息检测
2	权限检测
3	静态行为检测
4	动态行为检测
5	恶意程序检测
6	越权行为检测
7	权限滥用检测
8	资源文件包含APK
程序代码安全风险检测
9	私有函数调用风险
10	全局异常
11	启动隐藏服务风险
12	Java层关键函数风险
13	IP检测
14	IPV6检测
15	终端ROOT状态检测
16	应用完整性检测
17	随机数不安全使用风险
18	程序签名保护检测
19	URL硬编码风险
20	Java代码混淆检测
21	Java代码加壳检测
组件安全风险检测
22	启用VPN服务检测
23	数据库注入漏洞
24	动态注册Receiver风险（动态注册广播）
25	自定义权限的保护风险
26	WebView组件忽略SSL证书验证错误漏洞
27	Service最小化特权检测(导出风险)
28	PendingIntent错误使用Intent风险
29	Intent拒绝服务攻击风险
30	Intent Scheme URL攻击漏洞
31	Content Provider最小化特权检测(导出风险)
32	Content Provider文件目录遍历漏洞（需人工判定）
33	Content Provider数据泄露风险
34	Broadcast Receiver最小化特权检测(导出风险)
35	Activity最小化特权检测
通信安全检测
36	联网环境检测
37	SSL证书有效性风险（SSL通信服务端检测信任任意证书）
38	网络数据加密传输检测
39	安全通信协议检测(是否使用HTTPS等安全通信协议检测)
40	HTTPS允许任意服务器主机名漏洞
41	HTTPS未校验服务器主机名漏洞（HTTPS关闭主机名验证）
内部数据交互风险检测
42	日志数据泄露风险
43	密钥硬编码风险(AES/DES硬编码密钥)
44	测试信息泄露风险
45	RSA加密算法不安全使用风险
46	Intent隐式调用风险
47	AES/DES加密算法不安全使用风险
漏洞检测
48	未移除有风险的WebView系统隐藏接口漏洞
49	ZipperDown漏洞（zip文件遍历漏洞）
50	WebView远程代码执行漏洞
51	WebView明文存储密码漏洞
52	WebView跨域访问漏洞
53	WebView File域同源策略绕过漏洞
54	Janus漏洞

04

什么是仿冒应用程序？

仿冒应用这个比较好理解，简单的说就是冒充正版应用的名称、图标、签名、包名，或者代码等。这里解释下签名和包名，包名是一个App的唯一身份标示，这里主要针对的安卓应用，应用运行期间，App的存储文件就存在以/data/data/包名的沙盒路径下。签名这里指的是App的数字签名，通常存放在META-INF路径下，App安装时必须有数字签名，数字签名通常是开发者或企业的标识，目前仿冒应用判定标准也没有明确的规定，按照经验主要是判断应用程序的数字签名。

下面介绍一种常见的仿冒应用的判断方法：

（1）  如果一个App的签名与官方正版应用的签名（比对签名MD5值）一致，则该App为正版应用；

（2）  如果一个App的签名与官方正版应用的签名（比对签名MD5值）不一致，安装图标、应用名称、包名、或代码相似，则该App为仿冒应用，需要考虑一点，排除官方不同版本的应用。

         比如，我们上一篇仿冒国家税务总局个人所得税APP的情况：

 

05

什么是涉诈应用程序?

涉诈应用也叫诈骗APP，通常利用仿冒手段，诱骗用户，是互联网诈骗中非常重要的一环。目前，针对涉诈App的判定标准也没有明确的规定，我们是参考《涉互联网非接触类犯罪12+2专案标识》，将涉诈类型分为12+2大类，映射到我们的涉诈App研判分为9大类，分别是贷款类、理财类、彩票类、赌博类、色情类、刷单类、交友类、虚假购物类、其他。如果后续国家或行业出现涉诈APP判定标准后，我们再进一步讨论，部分涉诈12+2大小类详细如表5-1所示。

表5-1 部分涉诈12+2大小类

序号	涉诈类型（大类）	涉诈类型（小类）
1	贷款、代办信用卡类	虚假贷款
		虚假代办信用卡
		虚假提额套现
		其他
2	刷单返利类	刷单返利类
3	冒充电商物流客服类	冒充电商客服
		冒充物流客服
		其他
4	虚假购物、服务类	虚假购物
		虚假服务
		其他
5	杀猪盘类	虚假投资理财
		虚假博彩
		其他
6	冒充公检法及政府机关类	冒充公检法
		冒充其他单位组织

06

什么是违法违规程序？

违法违规程序（也叫超范围采集App）是依据2019年12月30日，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合制定了《App违法违规收集使用个人信息行为认定方法》标准，其标准要求6大项31小项，只要App违反了其中任意一项，都认为是违法违规程序，6大项如下所示。

(1) “未公开收集使用规则”;

(2) “未明示收集使用个人信息的目的、方式和范围”;

(3) “未经用户同意收集使用个人信息”;

(4) “违反必要原则，收集与其提供的服务无关的个人信息”;

(5) “未经同意向他人提供个人信息”;

(6) “未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”。

目前，我们违法违规检测自动化违法违规批量检测，准确率高，同时我们提供违法违规检测专家服务。

 

07

总结

  综上所述，大家应该对移动恶意程序的判定、应用程序的安全漏洞检测、仿冒应用判定、涉诈应用判定、违法违规应用判定等有个初步的了解，特别注意一点，这5大方面并不是相互独立的，并没有严格的界限，比如：一个应用属于涉诈应用，也可能是恶意程序，另外，我们需注意应用范围，安全漏洞检测和违法违规检测主要针对的正规应用，恶意程序检测、涉诈应用检测，以及仿冒检测主要是针对非正规应用。

- THE END-

暗影移动安全实验室（EversecLab）是恒安嘉新移动安全能力的支撑部门，由移动安全、数据安全、人工智能、漏洞挖掘等众多领域专家组成，专注于移动安全技术创新与研究，以及移动互联网应用安全的生态建设，包括移动恶意程序分析、安全风险评估、信息安全检测、数据安全评估、黑灰产溯源挖掘、诈骗APP分析、隐私合规检测等等。自主研发第四代移动APP高速研判分析引擎，支持动态检测引擎（动态沙箱技术）、静态检测引擎、AI检测引擎，样本库积累千万级，PB级大数据存储处理技术等。可为客户提供海量应用的信息挖掘，精准、实时、高效的APP检测、情报数据收集、数据关联分析、情报线索扩展，大屏态势感知展示等等。

  “安全创造价值”–暗影移动安全实验室坚持以安全为核心，研究为己任，继续创新和开发解决用户问题和行业痛点的产品，为国家的网络安全事业保驾护航。

原文始发于微信公众号（暗影安全实验室）：移动互联网应用程序风险判定科普篇