Androidアプリの安全性試験は、ライン上でこのAppScanのスキャンで探しているが、システムのアーキテクチャは、AppScanのスキャンをサポートしていません。
ここでは、セキュリティの手動テストによって、いくつかのアイデアがあります:
データストレージおよび機密データ:
| 前提条件 | 試験手順 | 期待される結果 |
| 1、ルート電話 |
1、TCPTumpグラブIP LOG。 |
3、データを含めることはできません。これらのデータはインタフェースに関連している場合は、明示的な通知を必要とします。 |
| 同上 | 1は、DDMSキャッチDDMS LOGを使用して、コンピュータに接続されています。 図2に示すように、各機能XXのためのアプリケーションの通常の使用 個人情報や機密データの事前条件3印刷するかどうか3、DDMSログ分析 4は、DDMSログを表示する、パスワードを印刷するかどうかを確認 |
2-3は、これらのデータを含めることはできません。 |
| テストデータサービスのアプリケーションは、オンまたはWiFi接続 | 1、Wiresharkの確認を使用してのTCPDumpグラブIPパケットは、機密データサーバのアドレスをアップロード | 1、個人データはサーバアドレスの非許容範囲の敏感な国/地域の集まりに送信することはできません |
| 図1に示すように、携帯電話接続DDMS |
1、アカウントのパスワードが関与XXモジュール機能 |
2-3はクリアテキストでパスワードを許可していません(特権保護が、そこに許可していない場合でも、クリアテキストでパスワード) |
注:データ型はデータ記憶SharedPreferencesに格納されている場合、基準の検証:HTTPS://www.cnblogs.com/ww-xiaowei/p/11209051.html
トラフィック消費量
| 前提条件 | 試験手順 | 期待される結果 |
| 図1に示すように、ネットワークは今WiFi接続有する |
1、アプリケーションを開くアプリケーションの実行、無立って、24時間を保ちます | 図1に示すように、設定で無線LANで消費アプリケーショントラフィックを参照して、アプリケーションの流れは、0.1メガバイトを超えることはできません。 |
| 図1に示すように、そこにモバイルデータネットワーク接続が今であり、「常時接続されたデータサービス、」チェック |
同上 | データトラフィックで消費閲覧アプリケーショントラフィックを設定する際に、アプリケーションの流れは、0.1メガバイトを超えることはできません。 |
注:24時間が長すぎると思うなら、あなたは30分をテストすることができ、トラフィックは0.06Mを超えないを消費しません
その他の項目
| システムのアップグレード |
1、システムが新しいバージョンを検出し、 |
1-2は、ユーザーがアップグレードして、自動的にユーザーの知識がなくても更新できる潜在的な影響を、アップグレード、およびオンライン更新チェック頻度のアップグレードパッケージを更新するかどうかを求めるメッセージが表示されます あまりにも多くの場合、せいぜい1 /日。 |
| パスワード | 1.携帯電話のroot権限を準備 AndroidManifest.xml 2.チェック 「<データのandroid:ホスト= "2432546" アンドロイド:スキーム= "android_secret_code"」 図3に示すように、濾過の比較及び附属書にパスワードテーブルのパスワード |
|
| ウイルス | 1.アンチウイルスソフト(マカフィーAndroidのバージョン)、携帯電話のセキュリティスキャンとリアルタイム監視をインストールします。 |
使用のウイルス対策ソフトウェアの間の通常の使用の2.アプリケーションは、ウイルス、トロイの木馬、マルウェアやその他のセキュリティリスクのヒントの存在を報告しません |
| 署名検証 | 電話でのルート 1. CMDコマンドライン:: "\ XXX.apk D" jarsignerの実行 -verify -verbose -certs |
これらの3人に1署名情報、名前、部署や会社名は、少なくとも1つの、デバッグ署名が表示されないことができ、空でないことを確認し、その充填性を確保する必要性(署名は、デバッグなどCN = Androidのデバッグ、などの単語、中の情報が含まれています)情報が真実かつ有効です Google以外の公式アプリケーションでは2、ないアンドリュース公開証明書Android/[email protected]、すべての情報が文字化けして、無効なURLではない、本物の、効果的な署名情報を確認する必要があり、一般的には、署名のサードパーティアプリケーションあなたはHuawei社サインインできません。
|
| デバッグモード | 開発者向けのオプション - - [設定]に移動してアプリケーションをデバッグ選択し、アプリケーションがリストにないデバッグするテスト対象のアプリケーションをご確認ください。 |
1、デバッガアプリケーションリストなしでテスト中のアプリケーション(またはアプリケーションメニューをデバッグする選択はグレー表示されます) |
| targetsdk | 電話がコンピュータに接続されています 1.ファイル名を指定して実行adbのシェルdumpsysパッケージパッケージ名、targetSDKを確認してください。 |
1、23よりtargetSDKが小さくない場合には、パス; targetSDK 23未満であれば、ステップ2。 |
権限:
| 前提条件 |
試験手順 |
期待される結果 |
| 1、携帯電話の家政婦とアプリケーションの監視権限管理の「プロンプト」へ |
まず、 ビューのAndroidManifest.xml、特権があればandroid.permission.record_audio 著作権管理の背景にチェックがある場合はXXモジュールの機能は、機能を記録し、操作する通話録音機能をチェックするかどうかを記録しながら、ユーザが明示的に |
1.何の記録権がない場合は、ステップ2を無視しない; 2、無通話録音機能は、バックグラウンドの存在を許可していないと、ユーザーの録音を発現しません。 |
| 1、携帯電話の家政婦とアプリケーションの監視権限管理の「プロンプト」へ |
ビューのAndroidManifest.xml、/ android.permission.call_phone権がandroid.permission.send_smsかどうかを確認するために |
1、呼び出し/テキストメッセージの権限なしで、ステップ2を無視して、 |
| 電話は、root権限を持っています | ビューのAndroidManifest.xml、アプリケーションの権限が適用されます | アプリケーションの権限は予約と敏感なビジネス機能が矛盾して禁止されています。 |
| ファイルへのユーザーのアクセス権 | 1.运行应用XXX。 |
4.此应用(不论是自研应用,还是预置的第三方应用)在USER显示的是类似app_XX/u0_aXX的形式,如果以root或system用户运行要评估是否为必需(几乎都是非必须的)。备注:JellyBean版本上是u0_aXX的形式,I及以前的都是app_XX的形式 |
| reboot权限 | 1.检查应用中是否申请了权限:android.permission.REBOOT | 1.一般都不会申请此权限,如果有申请,要确认必要性。 |
| 用户对文件的权限 | 1、遍历XX模块的功能 |
4、最后三位显示成---或--X(-rw-rw----, 这串字符的后三位)则没有读写控制权限,若无此文件,则忽略步骤5 |