打开网易新闻 查看更多图片

2024年8月8日,中国软件评测中心(工业和信息化部软件与集成电路促进中心)、工业和信息化部移动互联网App产品安全漏洞专业库与爱加密成功在重庆联合主办了第五期移动互联网App产品安全漏洞技术沙龙。

沙龙旨在持续深入贯彻《网络产品安全漏洞管理规定》,支撑国家移动互联网App产品安全漏洞管理工作,深入剖析网络产品安全漏洞管理重难点问题,引导各单位建设规范有序的漏洞发现、收集、验证修补等漏洞管理机制,切实提高各单位完善和优化漏洞管理工作,防范网络产品安全风险,促进移动互联网领域网络安全的蓬勃发展。

作为CAPPVD支撑单位,爱加密受邀发表专题演讲,由技术研发总监林魏为各大企业安全部门负责人及厂商负责人分享《移动互联网APP常见安全漏洞及技术应对思路》。

打开网易新闻 查看更多图片

截至2024年上半年,移动应用安全大数据平台收录全国Android应用共计467万款,iOS应用共计308万款,微信公众号623万个,微信小程序363万个。近年来Android应用新增幅度有所减缓,小程序增幅较大。2024年上半年,全国总计新更新、新上架的应用共计15万款。

打开网易新闻 查看更多图片

爱加密对Android及iOS APP安全漏洞进行了分类,其中Android分为程序/代码安全、应用及常见组件安全、数据安全、业务风险及安全漏洞等十大类;风险主要为应用及常见组件安全,占49%。

打开网易新闻 查看更多图片

iOS分为应用及代码安全、数据储存和隐私、代码质量和设置、业务风险及安全漏洞等九大类;iOS风险主要分布在应用及代码安全,占41%。

打开网易新闻 查看更多图片

会中就移动安全漏洞现状分技术测试、管理措施两大部分给出了移动安全防护建议。

技术测试层面:

漏洞扫描与渗透测试:利用自动化工具对移动应用和设备进行代码扫描、端口扫描、漏洞扫描等,及时发现潜在的漏洞问题; 采购第三方渗透测试服务/漏洞挖掘服务,针对于核心资产提供专业级漏洞发现与解决;

安全加固:对应用代码进行加固处理,如反编译保护、代码加固、防动态调试等,增加攻击者分析和篡改的难度;通过第三方安全SDK来增强应用的运行时环境安全检测等;

数据加密与传输保护:采用强加密算法对敏感数据进行加密存储和传输,确保数据在存储和传输过程中的安全性;使用SSL/TLS等安全协议建立加密通道,保护数据传输过程中的机密性和完整性。

身份认证与访问控制:要求用户设置强密码,并定期更换密码,增加账户安全性;实施细粒度的访问控制策略,限制用户对系统资源的访问权限,防止未经授权的访问。

管理措施层面:

安全培训与教育:通过安全教育和培训,提升用户对移动安全漏洞风险的认知和防范意识;对移动应用开发者进行安全开发培训,确保他们了解最新的安全漏洞和防御措施。

安全开发规范:明确移动应用的安全要求和规范,包括数据加密、身份认证、访问控制等方面的要求;对移动应用进行定期的安全审核和评估,确保应用符合安全策略和规范要求。

应急响应与处置:制定详细的应急响应预案,明确安全事件的处理流程和责任人;一旦发现安全漏洞或安全事件,立即启动应急响应机制,迅速采取措施进行处置和修复。

第三方安全服务:与专业的安全机构合作,引入第三方安全测试和评估服务,提升移动应用的安全性;利用专业的安全监控和预警系统,对移动应用进行持续监控和预警,及时发现潜在的安全威胁。

会上对各类型漏洞详情展示了相应实际案例并讲解,内容活动在场专家一致认可,众多嘉宾拍照留存学习。

打开网易新闻 查看更多图片

爱加密作为移动安全领域知名厂商,自2021年CAPPVD成立之初,便受邀成为首批支撑单位,多年来积极分享技术心得与行业数据,广受CAPPVD及行业专家认可。

爱加密始终以国家网络安全发展战略为指导,已成为国家信息安全漏洞库(CNNVD)技术支撑单位、国家信息安全漏洞共享平台(CNVD)技术支撑单位、工业和信息化部移动互联网APP产品安全漏洞库(CAPPVD)技术支撑单位。未来将继续配合CAPPVD工作安排,共同推动移动互联网安全产业的发展。

打开网易新闻 查看更多图片