App Vetting
Ostorlab App Vetting 为 Android 和 iOS 应用程序提供自动化的安全性、隐私合规性、恶意软件、信任度及可维护性评估。它结合了静态分析、动态分析以及安全沙箱隔离运行,用以评估应用程序包、运行时的行为、第三方服务和风险指标。
App Vetting 检测
对移动应用程序进行的全面评估,侧重于安全状况、隐私行为、恶意软件指标、信任信号和可维护性风险。
核心功能
- Android 和 iOS 应用程序包的静态分析。
- 运行时的应用程序行为动态分析。
- 安全沙箱隔离运行,实现受控的行为分析。
- 检测恶意软件指标、间谍软件行为和可疑的有效载荷(payloads)。
- 识别安全漏洞、不安全配置以及密码学误用。
- 分析隐私风险、追踪器、权限和数据流。
- 评估应用程序信任信号、发布者声誉以及分发来源。
- 可维护性分析,涵盖过期组件、框架年龄及长期风险。
- 跨恶意软件、安全性、隐私、信任和可维护性维度的加权风险评分。
风险评分
App Vetting 使用多维度加权评分模型来评估移动应用程序的整体风险。
核心功能
- 针对恶意行为、木马、间谍软件和可疑执行模式的恶意软件风险评估。
- 针对漏洞、不安全实现模式和 OWASP Mobile Top 10 问题的安全风险评估。
- 针对泄露的个人身份信息 (PII)、追踪器使用、明文传输和未经授权数据流的隐私风险评估。
- 基于应用声誉、发布者信号、数据包完整性和分发检查的信任评估。
- 针对依赖项年龄、框架使用、代码健康度以及未来风险敞口的可维护性评估。
默认评分模型使用以下权重:
| 维度 | 权重 |
|---|---|
| 恶意软件 | 35% |
| 安全性 | 25% |
| 隐私合规性 | 20% |
| 信任度 | 10% |
| 可维护性 | 10% |
安全隔离沙箱
一个受控的执行环境,用于在不暴露生产系统或用户设备的情况下观察应用程序行为。
核心功能
- 对应用程序行为的运行时监控。
- 系统 API 调用和敏感操作 of 运行时的分析。
- 检查出站网络连接。
- 检测遥测数据收集和第三方通信。
- 识别潜在的数据外泄行为。
- 对可疑或高风险应用的行分析。
零信任遥测评估
侧重于遥测的评估,从零信任的角度检查出站通信、追踪行为和数据移动。
核心功能
- 检测第三方追踪器和分析 SDK。
- 分析流向外部服务的数据流。
- 识别明文或保护薄弱的通信。
- 根据观察到的行为审查权限的使用情况。
- 评估影响隐私的运行时活动。
- 将遥测行为映射到隐私和合规风险。
如何使用 App Vetting
可以从 Ostorlab 仪表板使用 App Vetting 来评估公开的 Android 和 iOS 应用程序。
运行 App Vetting 检测
要从 Ostorlab 仪表板运行 App Vetting 检测:
- 打开仪表板菜单。
- 点击 Scanning。
- 选择 App Vetting。
- 输入公开应用的包名或应用名称,以搜索检测库。
- 从结果中选择应用。

- 打开检测结果以审查风险评分和发现项。

App Vetting 会检索所选公开应用的可用检测数据,并在检测视图中显示评估结果。
审查风险评分
打开检测结果后,审查整体应用风险评分以及按维度划分的评分明细。
评分涵盖以下类别:
- 恶意软件
- 安全性
- 隐私合规性
- 信任度
- 可维护性
使用评分明细来确定哪些风险区域对应用程序的整体风险贡献最大。

审查发现项 (Findings)
打开发现项 (findings) 部分,审查检测到的风险和技术细节。
发现项可能包括:
- 恶意软件指标。
- 安全漏洞。
- 隐私风险。
- 追踪器和 SDK 行为。
- 运行时遥测观察结果。
- 出站网络通信。
- 信任和声誉信号。
- 可维护性问题。
每个发现项都包含技术细节,以支持审查、分拣(triage)和修复。
检测结果与产出
App Vetting 提供结构化的结果,协助团队评估移动应用的风险级别。
核心产出
- 整体应用风险评分。
- 按类别划分的风险评分明细。
- 恶意软件指标及可疑行为。
- 安全漏洞和不安全配置。
- 隐私风险和数据流观察结果。
- 追踪器和第三方 SDK 信息。
- 信任和声誉信号。
- 可维护性发现项。
- 运行时遥测观察结果。
- 网络通信细节。
- 所识别发现项的技术性证据。
最佳实践
将 App Vetting 用作持续移动应用审查流程的一部分。
推荐实践
- 在企业批准或内部使用前,对应用进行审查。
- 当发布新的公开版本时,重新检测应用。
- 同时审查整体评分和类别级别的明细。
- 首先优先处理恶意软件、隐私以及高危的安全发现项。
- 必要时与应用所有者或厂商验证高影响力的发现项。
- 使用相同的评分基线对比多个应用。
- 利用发现项的详细信息,为安全、隐私、采购或第三方风险决策提供依据。