每一款APP上線之前都要經(jīng)過嚴格的測試����,而大家最關(guān)心的應(yīng)該就是手機APP的安全性問題�,如果不安全,用戶的隱私很可能被泄密����,那么���,手機app安全性測試哪些方面呢?
小編和資深APP專家打聽過�,整理了以下幾個方面的安全測試。
一��、軟件權(quán)限
1)扣費風險:瀏覽網(wǎng)頁�,下載,等情況下是否會扣費�����,一般在游戲APP����,和社交APP等需要考慮這些。
2)隱私泄露風險����。例如在我們安裝APP應(yīng)用時通常會看到"xx要讀取手機通訊錄"等提示,這些提示可以提示用戶拒絕接受����,這些是APP測試中的測試點�。
3)校驗input輸入�����。對于APP有輸入框的要對輸入的信息進行校驗��,比如密碼不能顯示明文�。在測試中紅人館注冊時需要對input進行測試。
4)限制/允許使用手機功能接人互聯(lián)網(wǎng)�,收發(fā)信息,啟動應(yīng)用程序�����,手機拍照或者錄音����,讀寫用戶數(shù)據(jù)。這個在通信行業(yè)用的比較多����,比如展訊�����,高通等芯片廠商,他們在出廠芯片時要對手機各個功能進行測試��。
二���、代碼安全性
之所以單獨拿出來說����,是因為在SDK測試過程中SDK代碼被第三方工具檢測出游病毒代碼����,這樣一來就會影響輸入法的使用。因此在后續(xù)測試中要嘗試加入安全性測試��。
三��、安裝與卸載安全性
1)應(yīng)用程序應(yīng)能正確安裝到設(shè)備驅(qū)動程序上
2)能夠在安裝設(shè)備驅(qū)動程序上找到應(yīng)用程序的相應(yīng)圖標����。在SDK測試項目中發(fā)現(xiàn)有些設(shè)備受權(quán)限的問題,無法下發(fā)圖標創(chuàng)建快鏈�。
3)是否包含數(shù)字簽名信息。在SDK測試項目中基本上沒有����,但是在輸入法打包和主線版本上存在這樣的測試���。
4)安裝路徑應(yīng)能指定
5)沒有用戶的允許應(yīng)用程序不能預先設(shè)定自動啟動
6)卸載是否安全,其安裝進去的文件是否全部卸載
7)卸載用戶使用過程中產(chǎn)生的文件是否有提示
8)其修改的配置信息是否復原
9)卸載是否影響其他軟件的功能
10)卸載應(yīng)該移除所有的文件
11)安裝包的存放���。在SDK下載安裝包的測試中我們經(jīng)常會看到下載下來的包后面有四個隨機的字符串���,這個的目的是為了防止第三方工具惡意刪除安裝包的問題。
在SDK測試項目中有專門針對下載安裝卸載的用例��,對安裝的路徑和下載的文件夾路徑等有相關(guān)的測試�,測試結(jié)果頁表明,某些手機(例如華為mate1)在刪除了某個下載路徑文件夾之后受權(quán)限應(yīng)用不會自動創(chuàng)建��。
四��、數(shù)據(jù)安全性
1)當將密碼或其他的敏感數(shù)據(jù)輸人到應(yīng)用程序時���,其不會被儲存在設(shè)備中�,同時密碼也不會被解碼
2)輸人的密碼將不以明文形式進行顯示
3)密碼�����,信用卡明細���,或其他的敏感數(shù)據(jù)將不被儲存在它們預輸人的位置上
4)不同的應(yīng)用程序的個人身份證或密碼長度必需至少在4一8個數(shù)字長度之間
5)當應(yīng)用程序處理信用卡明細���,或其他的敏感數(shù)據(jù)時,不以明文形式將數(shù)據(jù)寫到其它單獨的文件或者臨時文件中����。以防止應(yīng)用程序異常終止而又沒有刪除它的臨時文件,文件可能遭受人侵者的襲擊��,然后讀取這些數(shù)據(jù)信息�����。
6)當將敏感數(shù)據(jù)輸人到應(yīng)用程序時�,其不會被儲存在設(shè)備中
7)備份應(yīng)該加密,恢復數(shù)據(jù)應(yīng)考慮恢復過程的異常通訊中斷等�,數(shù)據(jù)恢復后再使用前應(yīng)該經(jīng)過校驗
8)應(yīng)用程序應(yīng)考慮系統(tǒng)或者虛擬機器產(chǎn)生的用戶提示信息或安全警告
9)應(yīng)用程序不能忽略系統(tǒng)或者虛擬機器產(chǎn)生的用戶提示信息或安全警告,更不能在安全警告顯示前����,利用顯示誤導信息欺騙用戶,應(yīng)用程序不應(yīng)該模擬進行安全警告誤導用戶
10)在數(shù)據(jù)刪除之前���,應(yīng)用程序應(yīng)當通知用戶或者應(yīng)用程序提供一個"取消"命令的操作
11)"取消"命令操作能夠按照設(shè)計要求實現(xiàn)其功能
12)應(yīng)用程序應(yīng)當能夠處理當不允許應(yīng)用軟件連接到個人信息管理的情況
13)當進行讀或?qū)懹脩粜畔⒉僮鲿r�, 應(yīng)用程序?qū)蛴脩舭l(fā)送一個操作錯誤的提示信息
14)在沒有用戶明確許可的前提下不損壞刪除個人信息管理應(yīng)用程序中的任何內(nèi)容
15)應(yīng)用程序讀和寫數(shù)據(jù)正確。
16)應(yīng)用程序應(yīng)當有異常保護��。
17)如果數(shù)據(jù)庫中重要的數(shù)據(jù)正要被重寫�,應(yīng)及時告知用戶
18)能合理地處理出現(xiàn)的錯誤
19)意外情況下應(yīng)提示用戶
20)HTTP、HTTPS覆蓋測試�。在測試中我們經(jīng)常會遇到與請求的加密解密測試,以確保產(chǎn)品的安全性���。
以上就是手機APP安全性測試的知識����,想要了解手機下載網(wǎng)絡(luò)資源需注意哪些危險隱患的朋友��,歡迎繼續(xù)關(guān)注佰佰安全網(wǎng)��,我們將有更多的通訊安全小知識介紹哦�����。
責任編輯:鄒蘭
為更好的為公眾說明安全知識的重要性,本站引用了部分來源于網(wǎng)絡(luò)的圖片插圖�����,無任何商業(yè)性目的�。適用于《信息網(wǎng)絡(luò)傳播權(quán)保護條例》第六條“為介紹����、評論某一作品或者說明某一問題,在向公眾提供的作品中適當引用已經(jīng)發(fā)表的作品”之規(guī)定�����。如果權(quán)利人認為受到影響���,請與我方聯(lián)系����,我方核實后立即刪除��。
2667
