​​導語

隨著網際網路移動應用爆發式增長，安全性已經成為資訊化時代的熱門話題。常見的移動應用惡意行為有哪些？如何規避移動應用安全漏洞？如何打造安全可靠的高質量移動應用？華為安全專家毛哲文將在本文為大家詳細解讀。

根據獵豹移動和安天移動安全聯合釋出的2017年移動安全報告顯示， 2017全年病毒量接近2000萬。隨著Android應用總數的上升，惡意應用和漏洞的數量還在飛速遞增。

應用中的惡意行為包括惡意扣費、山寨應用、靜默下載等等，其中惡意扣費的佔比高達30%！

針對這一情況，移動應用開發者應該有什麼樣的考慮和應對辦法呢？

Android安全棧

移動安全應該從底層到上層以及可能需要互動的雲端伺服器各個維度進行考慮。以手機為例，主要包含基礎設施層、硬體層、作業系統和應用層的安全考慮。

手機雖小，但承載了若干通訊協議，以及各種天線和各種類似PC上的通訊介面，基礎設施的安全問題顯得尤為重要；硬體層主要包括手機裝置及手機韌體等；作業系統層包括檔案系統、程序管理、記憶體管理、裝置管理、時間管理及網路管理等等，裝置本身的複雜性就可能會帶來不同的安全問題；應用層方面，有虛擬機器、各種libraries、so檔案、dex、apk等。

在應用開發中，由於手機的應用大多跟後臺伺服器和雲端有互動，因此開發者需要有安全意識，規避風險。

移動應用安全威脅模型

移動應用安全威脅模型（STRIDE）從6個維度對應用在開發設計階段進行了安全威脅分析，包括仿冒、篡改、抵賴、資訊洩露、拒絕服務和許可權提升等。

移動應用的攻擊路徑、攻擊方式和普通應用方法不太相同，需要從不同的維度進行關注。例如，不正確的會話處理、弱身份認證、弱許可權控制、惡意的二維碼等都可能造成移動應用仿冒安全威脅的發生，移動開發者在應用的開發過程中可利用以上模型識別可能發生的安全威脅。

華為為移動安全開發保駕護航

華為通過終端工具鏈對外提供統一Android應用雲平臺，旨在滿足手機終端、華為應用市場、產業聯盟以及公司各Android應用相關產品線團隊對於移動應用安全方面的需求。

主要提供包括病毒，漏洞、隱私洩露、廣告監測四種安全監測分析能力。

病毒分析能力

• 強大的移動防毒引擎（後臺支援動態更新防毒引擎）
• 實現Android平臺病毒掃描自動化以及零日病毒的掃描預警、、

Android程式碼的變形，無法被常用的靜態掃描檢測到。

漏洞分析能力

• 靜態漏洞分析
• 動態漏洞分析

常見漏洞分析——

隱私洩露分析能力

• 靜態分析，主要是基於對APK bytecode逆向分析和對APP生命週期建模後構建控制流圖、資料流圖，並結合Android汙染源和洩露點定義，查找出從汙染源到洩露點的隱私路徑
• 動態分析，主要通過敏感詞掃描工具完成

廣告分析能力

支援靜態和動態的廣告分析檢測，可檢測的廣告型別包括內嵌、彈窗、通知欄、積分牆和懸浮窗。

應用案例——

華為生態開放平臺（DevEco）

平臺簡介

華為終端開放實驗室DevEco平臺是為安卓應用開發者打造的開發和雲測試工具平臺，提供最佳的移動應用DevOps解決方案。

測試功能介紹

• 相容性測試
• 穩定性測試
• 效能測試
• 功耗測試
• 安全測試

目前DevEco平臺的測試有云測試、功能測試、雲除錯。雲測試方面包括相容性測試、穩定性測試、功能性測試、功耗測試和安全測試等。

為滿足開發者對移動應用的安全需求，華為安全團隊不僅在APK漏洞分析、病毒分析、惡意行為、隱私洩露分析、廣告分析等方面，提供了深度安全分析能力以及相關的安全解決方案，華為DevEco平臺同時為合作伙伴和應用開發者提供快速便捷、高質量的安全掃描測試工具，提升移動應用的安全防護能力水平。

華為DevEco平臺還將陸續開放更多功能，相關資訊可訪問華為終端開放實驗室，官網地址：https://deveco.huawei.com

安卓綠色聯盟會根據每期技術沙龍議題輸出精彩技術乾貨文章，分享講師PPT，為未能現場參加技術沙龍的您提供另一個乾貨學習機會。

關注我們，最新技術沙龍招募、精彩技術乾貨分享、與專家講師更多互動等你參與**！！！**

話題招募

什麼樣的議題會吸引您來參加技術沙龍？

什麼樣的技術乾貨才是您最想了解學習的？

留言告訴我們，神祕禮品等你來拿！​​​​