一、移动安全检测产品有哪些

首先我们来整体了解一下主流移动安全检测的产品，大概可以分为安全检测、合规检测，和监测服务三大类，安全检测主要是针对 APP 本身安全，业务安全数据安全这些内容，包含安全检测的漏洞检测和渗透检测两种，合规检测主要是针对个人信息保护、权限隐私保护这些内容，又分为隐私合规检测的自动化检测和人工检测两种模式。渠道监测服务主要是针对仿冒类应用，盗版应用的监测。

二、移动安全检测应对监管

对应的检测服务，也会有对应的机构来监督执行，对 APP 进行监管进行检查，权威的机构，像工信部，还有地方的通管局，信通院，会查 APP，漏洞隐私合规这块，国家网信办，地方网信办，会定期的检测负责区域内的 APP 隐私合规问题，内容合规问题，还有公安部、市场管理监督总局也会对 APP 漏洞，个人隐私信息保护进行一个检测，最终的通报 APP 整改，一般是工信部、网信办，比如根据工信部的发布显示在 2021 年共通报 1549 款，下架了 514 款违规 APP，除了这些头部的监管，还有一些行业政策方面的，比如银行、金融类的，这些涉及到支付，资产的，对安全要求比较高，需要通过互联网金融协会进行移动金融客户端检测备案，教育类的 APP，比如现在的线上教育，涉及到的都是未成年人的信息，是现在的重点保护数据，这类的 APP 就需要在教育部进行教育移动互联网应用程序备案，除了这些，还有比如政企类的、新闻媒体类的，都有一些行业的特殊性，也都有不同的行业标准

（一）APP安全检测理解

在介绍 APP 检测之前，先了解一下，一个 APP 的正常的产生流程，APP 是通过源代码，然后通过一系列的编译打包，成一个可以安装的应用程序，装到手机上，那没有加固过的 APP，尤其是安卓的应用，可以比较容易的通过逆向，通过反编译的手段，恢复部分的源代码，这就有可能会暴露一些核心的业务功能，加密算法，甚至直接是一些密钥，密码之类的信息。

检测呢，就是好比是我们去体检，自动化流程化的检测，会有一个数据的基准，最后出个检测报告，说明一下检测的情况，有多少高危，多少中危，多少低危，还有对应的修复建议，那么隐私合规就涉及一个人工检测模式，这个就好比是医生诊断，除了这个自动化分析的过程，我们会有专业的隐私合规检测工程师，结合自动化的报告，对 APP 进行分析，是针对现在政策里对于个人信息保护这块内容，像国标 35273，个人信息保护法，违法违规收集使用个人信息行为认定方法，这些法规，判别 APP 在隐私条款和隐私信息获取使用上是否存在问题，然后出具人工检测的报告和修改建议。

在 APP 开发过程中，部分研发人员在编码过程中安全意识薄弱，重功能、轻安全，这直接导致 APP 在应用本身、数据传输、数据存储及后端服务器等过程中，暴露大量的漏洞。一旦这些漏洞被非法分子利用，他们将以此为突破口，对 APP 进行逆向、篡改等，进而窃取 APP 信息，比如账号密码、隐私信息，甚至是侵害财产等。

(二）不同阶段漏洞修复成本

在不同的产品阶段，对于漏洞的修复成本也不相同，在研发阶段发现的漏洞可以由开发直接修复，成本低，效率高，而到运行一段时间后，才发现的漏洞，需要运维，发布的介入，修复成本成几何级数上升，给企业带来相当大的风险和成本压力，甚至漏洞可能已经被黑客发现或利用，造成的损失和影响将更大。

因此，我们需要在开发阶段对 APP 进行全面的检测，感知风险，及时修复漏洞。

接下来我们详细了解一下主流的检测，第一个是安全检测，主要是针对漏洞风险，覆盖安卓应用，iOS 应用，和 SDK 三块，通过漏洞检测引擎，可以对 APP 进行全面检测，检测 APP 的编码规范、代码安全、环境安全、数据安全，恶意行为，内容违规，第三方 SDK 问题等等，用户通过平台一键上传对应的 APP 或者 SDK，三至五分钟 就可以查看完整的检测结果，下载检测报告，并且会提供相应的问题修复建议

针对 APP 的渗透测试，主要涉及 APP 本身的漏洞、本地数据的安全以及服务端接口的漏洞等，可以发现现有安全措施的设计缺陷、技术缺陷和弱点，直观的暴露目前 API 中存在的应用、配置和脚本编写等各方面存在的缺陷，从不同角度分析 APP 服务端及客户端的安全隐患同时针对所发现的安全问题提供有效可行的解决方案。