跳转至

App Vetting

Ostorlab App Vetting 为 Android 和 iOS 应用程序提供自动化的安全性、隐私合规性、恶意软件、信任度及可维护性评估。它结合了静态分析、动态分析以及安全沙箱隔离运行,用以评估应用程序包、运行时的行为、第三方服务和风险指标。

App Vetting 检测

对移动应用程序进行的全面评估,侧重于安全状况、隐私行为、恶意软件指标、信任信号和可维护性风险。

核心功能

  • Android 和 iOS 应用程序包的静态分析。
  • 运行时的应用程序行为动态分析。
  • 安全沙箱隔离运行,实现受控的行为分析。
  • 检测恶意软件指标、间谍软件行为和可疑的有效载荷(payloads)。
  • 识别安全漏洞、不安全配置以及密码学误用。
  • 分析隐私风险、追踪器、权限和数据流。
  • 评估应用程序信任信号、发布者声誉以及分发来源。
  • 可维护性分析,涵盖过期组件、框架年龄及长期风险。
  • 跨恶意软件、安全性、隐私、信任和可维护性维度的加权风险评分。

风险评分

App Vetting 使用多维度加权评分模型来评估移动应用程序的整体风险。

核心功能

  • 针对恶意行为、木马、间谍软件和可疑执行模式的恶意软件风险评估。
  • 针对漏洞、不安全实现模式和 OWASP Mobile Top 10 问题的安全风险评估。
  • 针对泄露的个人身份信息 (PII)、追踪器使用、明文传输和未经授权数据流的隐私风险评估。
  • 基于应用声誉、发布者信号、数据包完整性和分发检查的信任评估。
  • 针对依赖项年龄、框架使用、代码健康度以及未来风险敞口的可维护性评估。

默认评分模型使用以下权重:

维度 权重
恶意软件 35%
安全性 25%
隐私合规性 20%
信任度 10%
可维护性 10%

安全隔离沙箱

一个受控的执行环境,用于在不暴露生产系统或用户设备的情况下观察应用程序行为。

核心功能

  • 对应用程序行为的运行时监控。
  • 系统 API 调用和敏感操作 of 运行时的分析。
  • 检查出站网络连接。
  • 检测遥测数据收集和第三方通信。
  • 识别潜在的数据外泄行为。
  • 对可疑或高风险应用的行分析。

零信任遥测评估

侧重于遥测的评估,从零信任的角度检查出站通信、追踪行为和数据移动。

核心功能

  • 检测第三方追踪器和分析 SDK。
  • 分析流向外部服务的数据流。
  • 识别明文或保护薄弱的通信。
  • 根据观察到的行为审查权限的使用情况。
  • 评估影响隐私的运行时活动。
  • 将遥测行为映射到隐私和合规风险。

如何使用 App Vetting

可以从 Ostorlab 仪表板使用 App Vetting 来评估公开的 Android 和 iOS 应用程序。

运行 App Vetting 检测

要从 Ostorlab 仪表板运行 App Vetting 检测:

  1. 打开仪表板菜单。
  2. 点击 Scanning
  3. 选择 App Vetting
    menu
  4. 输入公开应用的包名或应用名称,以搜索检测库。
  5. 从结果中选择应用。
    Search
  6. 打开检测结果以审查风险评分和发现项。
    results

App Vetting 会检索所选公开应用的可用检测数据,并在检测视图中显示评估结果。

审查风险评分

打开检测结果后,审查整体应用风险评分以及按维度划分的评分明细。

评分涵盖以下类别:

  • 恶意软件
  • 安全性
  • 隐私合规性
  • 信任度
  • 可维护性

使用评分明细来确定哪些风险区域对应用程序的整体风险贡献最大。

Results

审查发现项 (Findings)

打开发现项 (findings) 部分,审查检测到的风险和技术细节。

发现项可能包括:

  • 恶意软件指标。
  • 安全漏洞。
  • 隐私风险。
  • 追踪器和 SDK 行为。
  • 运行时遥测观察结果。
  • 出站网络通信。
  • 信任和声誉信号。
  • 可维护性问题。

每个发现项都包含技术细节,以支持审查、分拣(triage)和修复。

检测结果与产出

App Vetting 提供结构化的结果,协助团队评估移动应用的风险级别。

核心产出

  • 整体应用风险评分。
  • 按类别划分的风险评分明细。
  • 恶意软件指标及可疑行为。
  • 安全漏洞和不安全配置。
  • 隐私风险和数据流观察结果。
  • 追踪器和第三方 SDK 信息。
  • 信任和声誉信号。
  • 可维护性发现项。
  • 运行时遥测观察结果。
  • 网络通信细节。
  • 所识别发现项的技术性证据。

最佳实践

将 App Vetting 用作持续移动应用审查流程的一部分。

推荐实践

  • 在企业批准或内部使用前,对应用进行审查。
  • 当发布新的公开版本时,重新检测应用。
  • 同时审查整体评分和类别级别的明细。
  • 首先优先处理恶意软件、隐私以及高危的安全发现项。
  • 必要时与应用所有者或厂商验证高影响力的发现项。
  • 使用相同的评分基线对比多个应用。
  • 利用发现项的详细信息,为安全、隐私、采购或第三方风险决策提供依据。