关于开展安卓APP安全加固系统评测的通知

2016-12-01


一、评测背景


        针对安卓APP进行破解、篡改、劫持、窃密等攻击问题日益严重,越来越多的移动互联网安全企业开始提供安卓APP安全加固服务,通过防反编译、防篡改、防调试、防注入等技术手段提高安卓APP对抗恶意攻击的能力。

        但是,与此同时恶意程序的开发者也蒙混过关,通过APP安全加固方式给恶意程序进行加固,达到对抗安全检测的目的。国家互联网应急中心(以下简称CNCERT)监测发现,通过加固方式对抗安全检测的恶意程序最早出现于2011年,2015年全年出现经过加固的恶意程序数量达数十万,相应的增长趋势图如下:


二、评测内容

        为规范并促进安卓APP安全加固领域的健康发展,CNCERT牵头制定了通信行业标准2015-0217T-YD《移动互联网应用程序安全加固能力评估要求与测试方法》,本标准对提供安卓APP加固服务的系统提出了三个要求:

        1、禁止对恶意APP进行加固;

        2、要求对APP加固提交者进行身份验证;

        3、要求具备对加固前APP进行追查的能力。
        同时本标准还对APP安全加固系统提出了兼容性要求、功能要求和强度要求:




        兼容性要求:APP安全加固产品应该达到的适应性要求,满足APP加固后能够在不同版本的操作系统和不同终端中正常运行的要求。

        功能要求:APP安全加固产品应具备的安全防护能力要求,包括防篡改、防调试、防注入、防界面劫持、防调试日志泄露等。

        强度要求:APP安全加固产品的防护程度要求,比如防篡改的程度、防调试的程度等。

        其中功能要求和强度要求从9个方面对APP安全加固系统进行评估:


                 


三、评测安排

        依据《移动互联网应用程序安全加固能力评估要求与测试方法》,中国互联网协会反网络病毒联盟拟于近期开展安卓APP安全加固系统的评测工作,欢迎国内提供安卓APP安全加固服务的企业报名参加评测工作。

        报名时间:2016年12月1日至12月7日

        报名邮箱:anva@cert.org.cn

                            anvaregister@cert.org.cn

         报名邮件请在邮件标题中注明“参加安卓APP安全加固系统评测”,并在邮件正文中提供企业基本情况和加固服务说明。

                                                                                                                                                                                                                                        中国反网络病毒联盟

                                                                                                                                                                                                                                                2016年12月1日



(编辑:ANVA)