灰应用检测产品介绍

  移动互联网这把双刃剑，在给企业带来可观收益，给用户提供便利的同时，各种传播淫秽信息、嫖娼赌博、贩卖毒品等违法犯罪行为也纷纷“登陆”移动应用网络平台，这些“问题应用”不仅存在大量的内容违规和功能违规，也会有窃取用户信息、存在恶意病毒等隐患。

  为了躲避日益严格的监管机制，这些应用软件在产品形态、生存环境以及传播模式上进行调整伪装，更有甚者只会在特定区域或者时间进行一定的违法违规行为，试图发现利用监管政策的“灰色地带”，灰应用由此而生。

  通付盾灰应用检测是首家提出灰应用概念，并针对性推出灰应用检测服务的先行者。通过多年移动应用安全合规方向的技术积累，结合对市场灰应用长期的特征观察分析，深入灰色场景，全面检测移动应用在内容安全，应用安全、隐私合规等方面存在的违法违规问题，为用户提供成熟全面、专业便捷的灰应用检测服务，保障移动网络环境的安全性。

• 内容安全检测

  内容安全检测产品基于市场监管的需求特色，在独创的静态分析和运行态沙盒相结合的双引擎检测模式下，搭载行业内领先的内容安全检测内核，通过海量的不断更新的检测库进行秒级检测匹配，对移动应用的静态资源内容和运行状态下的动态内容进行全覆盖检测，协助应用发布者对移动应用的内容违规情况进行有效管控。

  内容安全检测服务能对包含敏感词汇、涉黄、涉政、暴恐、违禁品、非法广告的文本、图片、视频进行检测和识别，通过系统化的方式提供审核、打标、自定义配置等能力来保障市场监管的效果和个性化需求落地，直接一键上传即能进行对移动应用的内容安全检测，并提供专业的检测报告。

• 隐私合规检测

  移动应用隐私合规检测主要由静态检测引擎和动态检测引擎相结合。静态检测引擎通过程序逆向对移动应用APP进行逆向分析，运用符号执行方法，通过数学符号值，模拟程序逻辑执行，挖掘移动应用中的权限风险问题。动态检测引擎以动态运行沙盒为核心，在模拟器上运行程序并提取运行信息，对真实运行状态下关键行为的安全性进行确认。从而达到综合检测应用的权限申请及调用情况，快速准确判别其安全性。

​ （1）权限合规分析

   提供权限申请情况及真实使用场景下的实际调用行为及调用频率分析，比对其是否符合相关文件规范，并关联相关数据，提供对应截图等。

​ （2）流量数据分析

   对应用于动态检测过程中产生的流量数据进行分析，包括数据内容，数据流向等，并保留原始数据作为检测依据。

​ （3）敏感行为分析

   提供真实使用场景下实际调用的API信息及情况，对敏感行为进一步解释说明。

​ （4）第三方SDK分析

   对第三方SDK的权限申请及调用情况、API调用情况、安全风险等内容进行全方位分析。

​ （5）敏感数据存储及传输分析

   对应用中的敏感数据使用行为进行分析，并提供调用位置与内容的分析。

​ （6）动态仿真检测

   提供基于真实使用场景的动态检测引擎，并模拟真实用户的使用行为进行检测，保证检测过程贴合真实用户使用过程，准确性高。

• 安全漏洞检测

  移动应用安全检测系统采用动静双引擎检测技术，严格按照国家标准规范进行检测，通过主动挖掘未知漏洞、发现恶意代码、后门程序等，快速定位风险位置，对检测数据集进行处理生成检测报告，给出合理的安全整改建议，为企业和机构提供面向移动应用程序的全方位安全检测服务。

核心优势

• 检测全面

  灰应用检测覆盖内容安全检测、安全漏洞检测、隐私合规检测三大方向，深入应用内部进行全方位检测，检测更全面。

• 结果精准

  覆盖程序执行的全路径，精准的数据流分析严格控制误报率和漏报率。

• 依据权威

  产品设计严格按照国家标准和行业规范，并与CNNVD、CVE等国内外权威漏洞库联动，检测结果科学、客观、合理。

• 取证完整

  固证、取证信息完整，可视性强，直观追溯问题根源路径和画面，方便整改。