【APP安全】人脸SDK安全检测项清单

检测项目名称检测内容检测归类
SDK自身安全漏洞Java 代码未混淆风险源文件安全
私有函数调用风险
AES 弱加密漏洞
RSA 算法不安全使用漏洞
随机数不安全使用
敏感函数调用风险
低保护级别的自定义权限内部数据交互安全
PengdingIntent 不安全使用
携带敏感信息的隐式Intent 调用
动态注册广播
FFmpeg 文件读取
Intent Scheme URLs 攻击
Provider 文件目录遍历
Fragment 注入
Webview 未移除隐藏接口
Webview 明文保存密码
Activity 绑定browserable 与自定义协议
存在剪切板读或写操作漏洞检测
SSL 通信服务端检测信任任意证书通信数据传输安全
SSL 通信客户端检测信任任意证书
HTTPS 关闭主机名验证
Webview 存在本地Java 接口
Webview 忽略SSL 证书错误
开放socket 端口
Webview 启用访问文件数据
getdir 读写权限配置错误本地数据存储安全
全局文件读写权限配置错误
配置文件读写权限配置错误
AES/DES 硬编码密钥
打开或创建数据库文件权限配置错误
DEX 文件动态加载防御检测
外部加载so 文件漏洞
未使用编译器堆栈保护技术
未使用地址空间随机化技术
unzip 解压缩(ZipperDown)
动态链接库中包含执行命令函数
libupnp 栈溢出漏洞
Webview 组件远程代码执行(调用getClassLoader)
保存明文数字证书风险
篡改/二次打包风险
资源文件泄露风险
so 文件破解风险
SDK恶意行为SDK信息拉取、上报和展示目标与App提供者设定的目标不同,恶意劫持App流量,可能对App造成损害。流量劫持
SDK可通过消耗用户网络套餐资费、恶意发送收费短信,订阅收费服务等行为,造成用户的资金损失。资费消耗
SDK在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、短信息等个人敏感信息,隐蔽进行拍照、录音等敏感行为,并发送给恶意开发者。隐私窃取
SDK在后台静默下载、安装其它恶意软件或病毒木马。静默下载安装
SDK在用户不知情的情况下,在后台模拟人工点击广告链接进行牟利。广告刷量
SDK向用户推送包含欺诈内容、病毒木马的广告链接。推送过量广告,进而长期占用系统通知栏、屏幕界面,干扰用户正常使用App。恶意广告
SDK恶意加密用户手机中的文件,干扰用户对手机的正常使用,并以恢复正常使用为由向用户勒索钱财。勒索
SDK在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币,对用户设备硬件造成性能损耗。挖矿
SDK在手机端启动本地后台服务器,接收远程控制端发来的控制指令,隐蔽进行上述其他恶意行为。远程控制
SDK对系统剪切板进行监听,获取剪切板中的敏感信息,或者根据剪贴板内容的变化触发悬浮窗,干扰系统功能,欺骗用户,或者影响其他应用正常使用。剪切板劫持
SDK 收集使用个人
信息
SDK收集与提供服务无关的个人信息,强制申请非必要的权限,自动收集个人信息的频度和时机不合理等。超范围收集个人信息
SDK未向App告知或完整告知自身所收集的个人信息收集使用个人信息的
目的、类型、方
未经用户同意,私自调用权限隐蔽收集个人信息,私自通过自启动、关联启动等方式收集个人信息,SDK未经用户同意收
集、使用或对外提供个人信息

发表评论

电子邮件地址不会被公开。 必填项已用*标注