ICS35.240.01L70團 體 標 準T/ISC0018—2022移動互聯網應用程序（App）數據安全測評能力要求DatasecuritytestandevaluationcapabilityrequirementsformobileInternetapplications2022-11-01發布 2023-02-01實施中 國 互 聯 網 協 會 發布PAGE\*ROMANPAGE\*ROMANIIT/ISC0018—2022目??次范圍 1規范性引用文件 1術語和定義和縮略語 1移動互聯網應用程序數據安全測評能力模型 1移動互聯網應用程序數據安全測評能力管理要求 2移動互聯網應用程序數據安全測評能力技術要求 3附錄A（資料性附錄）基礎級AndroidApp數據安全重點測評項目及方法 6附錄B（資料性附錄）基礎級iOSApp數據安全重點測評項目及方法 11附錄C（資料性附錄）增強級AndroidApp數據安全測評項目及方法 14附錄D（資料性附錄）增強級iOSApp數據安全測評項目及方法 18附錄E（資料性附錄）App數據安全測評報告模板 20T/ISC0018—2022前??言本文件按照GB/T1.1—20201草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。本標準由中國互聯網協會歸口。（愛加密）、北京梆梆安全科技有限公司、成都思維世紀科技有限責任公司本標準主要起草人：解伯延、王丹輝、謝瑋、魏薇、陳湉、劉行、高超、唐剛、秦曉磊、余宇舟、張淵、秦博陽、鐘子呈、黃偉杰、韓云、章明珠、姜會安、任江輝、曾禮、方寧、盧佐華PAGEPAGE10T/ISC0018—2022移動互聯網應用程序（App）數據安全測評能力要求范圍規范性引用文件（包括所有的修改單GB/T37988—2019信息安全技術數據安全能力成熟度模型術語和定義和縮略語術語和定義下列術語和定義適用于本文件。移動互聯網應用程序 mobileinternetapplication運行在移動智能終端上的應用程序。注：包括移動智能終端預置、下載安裝的應用程序和小程序。數據安全 datasecurity[來源：GB/T37988—2019，定義3.1]識別 identification涉及查找、辨識和記錄潛在數字證據的過程。[來源：ISO/IEC27037:2012，定義3.12]縮略語下列縮略語適用于本文件。App 移動互聯網應用程序 mobileinternetapplication移動互聯網應用程序數據安全測評能力模型T/ISC0018—2022App基礎級App數據安全測評技術要求覆蓋數據存儲機制、傳輸情況、權限調用行為等易于識別、核驗的測評項。增強級App數據安全測評技術要求覆蓋惡意攻擊防范、數據安全機制等需要一定技術能力儲備及人工核驗的較為復雜的測評項。圖1App數據安全測評能力模型移動互聯網應用程序數據安全測評能力管理要求測評對象要求App數據安全測評的對象是App運營者、分發服務平臺等App業務相關方開發、運營或分發的App軟件產品。測評啟動條件要求運營者、應用分發平臺及時啟動測評，測評可自行進行或委托第三方進行：T/ISC0018—2022App于應用分發平臺上線或于產品官網等其他渠道提供下載時開展測評；根據App運營者、應用分發平臺自身計劃開展測評，如定期測評，以及在App業務功能、程序邏輯等發生較大變化時開展測評；行業主管部門要求開展數據安全測評時開展測評；國家法律法規有相關要求或滿足國家法律法規有關情形時開展測評。測評實施流程要求測評實施流程包括如下三個階段：準備階段測評準備階段包括制定測評方案、確定測評小組人員、獲取被測App樣本、明確測評項目范圍、評估測評環境及測評工具。實施階段測評實施階段包括采用工具掃描、沙箱模擬、動態測試、人工干預、功能遍歷等方式，發現App數據安全風險，評估App數據安全保護能力，針對風險制定整改措施。結束階段測評報告規范要求測評報告應當包括以下組成部分（參見附錄E）：AppApp測評設備信息，包括測評設備軟硬件名稱、軟硬件配置、版本等；測評項目說明，包括測評覆蓋的風險項類別、名稱、簡要說明等；測評結果匯總，包括測評發現風險數量統計、風險分布統計、風險名稱、描述、對應整改建議等；移動互聯網應用程序數據安全測評能力技術要求App數據安全測評能力技術要求源文件安全基礎級數據源文件安全問題測評以App源代碼、資源文件、安全配置風險為核心，應對App源文件中Java代碼反編譯、核心文件或關鍵明文字符串加密保護措施、測試代碼殘留、注入漏洞等進行測評。重點測評項目包括但不限于JsSoWebSQLPlists（參見附錄A、附錄B）。數據存儲安全T/ISC0018—2022基礎級數據存儲安全問題測評以AppWebview組件重點測評項目包括但不限于Webview明文存儲密碼、WebviewFile同源策略繞過、明文數據交互安全基礎級數據交互安全問題測評以App組件配置、傳輸機制為核心，應對組件注冊方式、組件導出屬性設置、數據傳輸協議情況等進行測評。重點測評項目包括但不限于動態注冊ReceiverActivityService組件導出、BroadcastReceiver組件導出、ContentProvider組件導出、HTTP傳輸數據風險、缺乏有效的Token機制等（參見附錄A、附錄B）。數據安全防護機制基礎級AppWebview組件證書校驗情況、輸入數據監聽或按鍵位置記錄、界面截圖或錄制、Webview組件接口函數調用策略、SD卡后動態加載行為等進行測評。重點測評項目包括但不限于WebviewWebview遠程代碼執行、從Sdcard加載So風險、主鍵截屏漏洞等（參見附錄A、附錄B）。App源文件安全重點測評項目包括但不限于應用簽名未校驗、應用簽名算法不安全、篡改/二次打包風Wevie。數據存儲安全增強級數據存儲安全問題測評在基礎級測評的基礎上，以本地數據存儲安全防護機制、組件安全配置為核心，應對C層代碼動態調試情況、組件讀寫權限設置、數據全局可讀寫狀態等進行測評。SharedPreferences數據全局InernlStoageGetDrC。數據交互安全增強級數據交互安全問題測評在基礎級測評的基礎上，以App數據交互組件配置安全、Intent請求或異常數據防護策略、證書安全校驗機制等進行測評。重點測評項目包括但不限于Intent組件隱式調用、IntentSchemeURL攻擊、HTTPS未校驗服務器證書等（參見附錄C、附錄D）。數據安全防護機制T/ISC0018—2022App面臨的數據安全威脅、RootT/ISC0018—2022附錄A（資料性附錄）基礎級AndroidApp數據安全重點測評項目及方法源文件安全Js資源文件未加密編號基礎級-源文件-Android-01測評項目Js資源文件未加密問題描述APKJsJsJs造成用戶的敏感信息泄露。測評方法解析Js資源文件，校驗資源文件是否經加密保護。So文件破解編號基礎級-源文件-Android-02測評項目So文件破解問題描述So改用戶賬號信息；對服務器接口發起攻擊等。測評方法SoAppSo單元測試配置編號基礎級-源文件-Android-03測評項目單元測試配置風險問題描述測試代碼存在配置單元中，和配置單元進行關聯的風險。應用Androidmanifest.xml文件保留有單元測試配置項或者源碼中保留有單元測試代碼，容易導致客戶端功能暴露，可能導致泄露客戶端關鍵業務邏輯。測評方法反編譯APK文件，檢測配置單元中是否存在測試代碼。WebSQL注入編號基礎級-源文件-Android-04測評項目WebSQL注入漏洞問題描述HTML5SQLWebSQL可能導致存儲的敏感數據信息被查詢泄露，例如賬戶名，密碼等。測評方法APKAppHTML5WebSQL注入漏洞。數據存儲安全Webview明文存儲密碼編號基礎級-數據存儲-Android-01T/ISC0018—2022測評項目Webview明文存儲密碼風險問題描述Android的Webview組件中默認打開了提示用戶是否保存密碼的功能，可能明文存儲用戶密碼等信息并導致相關信息泄露。測評方法APKWebviewWebviewFile同源策略繞過編號基礎級-數據存儲-Android-02測評項目WebviewFile同源策略繞過漏洞問題描述WebViewFileJavaScriptJavaScriptFile測評方法APKWebview源策略繞過。明文數字證書編號基礎級-數據存儲-Android-03測評項目明文數字證書風險問題描述APK器中的用戶數據或造成服務器響應異常。測評方法通過解壓APK文件包，獲取簽名證書文件，校驗證書文件的內容是否存在明文字符。調試日志函數調用編號基礎級-數據存儲-Android-04測評項目調試日志函數調用風險問題描述調試日志函數可能輸出重要的日志文件，其中包含的信息可能導致客戶端用戶信息泄露，暴露客戶端代碼邏輯等。測評方法APKLog代碼，如是，則查驗Log是否含有配置信息、代碼邏輯等內容。應用數據任意備份編號基礎級-數據存儲-Android-05測評項目應用數據任意備份風險問題描述Android2.1AppFalseApp號、交易密碼、身份令牌、服務器通信記錄等。利用此類信息攻擊者可偽造用戶身份，盜取用戶賬戶資產，或者直接對服務器發起攻擊。測評方法反編譯APK文件，檢測AndroidManifest文件的允許備份屬性值。密鑰硬編碼T/ISC0018—2022編號基礎級-數據存儲-Android-06測評項目密鑰硬編碼漏洞問題描述密鑰硬編碼是指在代碼中直接將加密算法的密鑰設置為一個固定值，通過反編譯可以直接查看密鑰內容，整個加密算法將形同虛設。密鑰硬編碼，可直接造成加密數據被破解，客戶端與服務器之間的通信內容被破解，導致應用內的加密文件被破解，或是用戶的敏感信息泄露。測評方法反編譯APK文件，檢測代碼中是否存在常量密鑰。數據交互安全Receiver編號基礎級-數據交互-Android-01測評項目動態注冊Receiver問題描述BroadcastReceiverIntentBroadcastReceive據泄漏或是越權調用等風險。測評方法APKBroadcastReceiverActivity組件導出編號基礎級-數據交互-Android-02測評項目Activity組件導出問題描述ActivityApkAndroidActivityAppActivity第三方惡意調用等風險。測評方法APKActivityIntent-filter否配置Action。Service組件導出編號基礎級-數據交互-Android-03測評項目Service組件導出問題描述ServiceApkAppService導出可能導致拒絕服務攻擊，程序功能被第三方惡意調用等風險。測評方法通過工具提取應用的AndroidManifest文件并解析，獲取所有注冊的Service組件，檢測屬性值設置和Intent-filter是否配置Action。BroadcastReceiver組件導出編號基礎級-數據交互-Android-04測評項目BroadcastReceiver組件導出問題描述BroadcastReceiverApk方的AppBroadcastReceiverT/ISC0018—2022登錄界面被繞過等風險。測評方法通過工具提取應用的AndroidManifest文件并解析，獲取所有注冊的Receiver組件，檢測屬性值設置和Intent-filter是否配置Action。ContentProvider組件導出編號基礎級-數據交互-Android-05測評項目ContentProvider組件導出問題描述ContentProviderAPKApp，如果設置了導出權AppContentProvider可能導致程序內部的敏感信息泄露，數據庫SQL注入等風險。測評方法APKToolAndroidManifestProvider組件，檢測屬性值設置和Intent-filter是否配置Action。HTTP傳輸數據編號基礎級-數據交互-Android-06測評項目HTTP傳輸數據風險問題描述使用HTTP協議進行數據傳輸，未對數據傳輸進行加密，可導致數據包遭截獲、傳輸內容泄露。測評方法檢測App是否使用HTTP協議傳數數據，且數據是否包含敏感信息。Token機制編號基礎級-數據交互-Android-07測評項目缺乏有效的Token機制問題描述Token鑒權信息進行修改，即可繞過服務器鑒權，直接訪問系統內部信息。測評方法攔截應用對用戶登陸的響應信息，檢測是否能對登陸響應中的服務器返回的token鑒權信息進行修改。數據安全防護機制Webview繞過證書校驗編號基礎級-數據防護-Android-01測評項目Webview繞過證書校驗問題描述WebviewHTTPSUrl校驗錯誤并忽略，客戶端可以繞過證書校驗錯誤繼續訪問此非法URL。這樣將會導致“中間人攻擊”。測評方法反編譯APK文件，檢測證書校驗過程中是否存在忽略證書錯誤的情況。輸入監聽編號基礎級-數據防護-Android-02測評項目輸入監聽問題描述數據被監聽或者按鍵位置被記錄，很可能導致用戶的輸入數據被獲取。T/ISC0018—2022Android系統的默認輸入鍵盤中通常都面臨數據監聽的風險。測評方法反編譯APK文件，檢測Activity中是否存在對系統軟鍵盤的監聽隱藏。截屏攻擊編號基礎級-數據防護-Android-03測評項目截屏攻擊問題描述App對象是Android應用中的身份認證、登錄界面和資金操作界面。在Android5.0的情況下啟動屏幕錄制功能。測評方法APK圖和錄制的方法。Webview遠程代碼執行編號基礎級-數據防護-Android-04測評項目Webview遠程代碼執行問題描述Webview是AndroidJavaJavaScriptJSJAVAURL被執行，用戶手機被安裝木馬程序，甚至手機被遠程控制。測評方法反編譯APK文件，檢測代碼Webview加載網頁是否調用接口函數AddJavascriptInterfaceSdcardSo文件編號基礎級-數據防護-Android-05測評項目從Sdcard加載So風險問題描述APKSoAppSo文件存儲或者下載于Sdcard上，然后進行動態加載。測評方法檢測App是否允許So文件存儲或者下載于Sdcard后動態加載。T/ISC0018—2022附錄B（資料性附錄）基礎級iOSApp數據安全重點測評項目及方法源文件安全Plists信息泄漏編號基礎級-源文件-iOS-01測評項目Plists信息泄漏問題描述Plist文件通常用于儲存用戶設置，也可以用于存儲捆綁的信息。此類文件可能存在信息泄露風險。測評方法解壓IPA文件目錄，檢測其plist文件是否包含敏感信息。明文字符串泄露編號基礎級-源文件-iOS-02測評項目明文字符串泄露問題描述程序中常常包含明文字符串信息，如果不做加密保護，很容易通過字符串泄露使用的關鍵算法、密碼等信息，需要評估明文字符串是否包含敏感或關鍵的信息，建議進行加密保護。測評方法反編譯IPA文件，檢測App代碼文件中是否存在明文的敏感或關鍵信息。外部函數顯示調用編號基礎級-源文件-iOS-03測評項目外部函數顯示調用風險問題描述Hook行為。測評方法反編譯IPA文件，檢測代碼中是否存在顯式調用外部函數的情況。代碼未混淆編號基礎級-源文件-iOS-04測評項目代碼未混淆問題描述iOS代碼未混淆則代碼內方法名、變量名、類名、包名等這些元素可讀,無法對源代碼實現邏輯分支混淆和控制流平坦化從而隱藏關鍵邏輯，可能導致敏感安全信息被竊取。測評方法App（如類名、函數列表）、函數名稱等，檢測內容是否可讀。數據存儲安全密鑰硬編碼編號基礎級-數據存儲-iOS-01測評項目密鑰硬編碼漏洞問題描述密鑰硬編碼是指在代碼中直接將加密算法的密鑰設置為一個固定值，通過反T/ISC0018—2022編譯可以直接查看密鑰內容，整個加密算法將形同虛設。密鑰硬編碼，可直接造成加密數據被破解，客戶端與服務器之間的通信內容被破解，導致應用內的加密文件被破解，或是用戶的敏感信息泄露。測評方法反編譯IPA文件，檢測代碼中是否存在常量密鑰。數據庫明文存儲編號基礎級-數據存儲-iOS-02測評項目數據庫明文存儲風險問題描述iOSSQLiteAppAppSQLite數據庫中。一旦該數據庫中的數據被直接查詢、備份，或者數據恢復，存儲在SQLite中未加密的敏感信息將會直接暴露。測評方法SQLite如賬戶名，密碼，后臺連接地址，服務器等相關信息。配置文件信息明文存儲編號基礎級-數據存儲-iOS-03測評項目配置文件信息明文存儲風險問題描述iOSPlistApp易被獲取。測評方法反編譯IPA文件，檢測是否對Plist文件使用系統加密庫。數據交互安全HTTP傳輸數據編號基礎級-數據交互-iOS-01測評項目HTTP傳輸數據風險問題描述使用HTTP協議進行數據傳輸，未對數據傳輸進行加密，可導致數據包遭截獲、傳輸內容泄露。測評方法檢測App是否使用HTTP協議傳數數據，且數據是否包含敏感信息。機制編號基礎級-數據交互-iOS-02測評項目缺乏有效的Token機制問題描述Token鑒權信息進行修改，即可繞過服務器鑒權，直接訪問系統內部信息。測評方法Apptoken鑒權信息進行修改。數據安全防護機制1）主鍵截屏編號增強級-數據防護-iOS-01T/ISC0018—2022測評項目主鍵截屏漏洞問題描述iOS系統在程序退出的時候，會保存程序當前的快照，如果退出的時候頁面含有密碼等關鍵信息未進行處理則存在安全隱患。測評方法AppApp的截圖。T/ISC0018—2022附錄C（資料性附錄）增強級AndroidApp數據安全測評項目及方法源文件安全應用簽名未校驗編號增強級-源文件-Android-01測評項目應用簽名未校驗問題描述AppApp病毒代碼、惡意代碼，導致用戶敏感信息泄露。測評方法對APK進行重新簽名，檢測是否可以成功安裝并啟動成功。應用簽名算法不安全編號增強級-源文件-Android-02測評項目應用簽名算法不安全問題描述使用陳舊的SHA-1哈希算法，可能導致簽名遭破解。測評方法反編譯APK文件，檢測代碼是否含有SHA-1簽名算法。篡改/二次打包編號增強級-源文件-Android-03測評項目篡改打包風險問題描述缺少安裝包完整性、可靠性驗證機制，可導致遭惡意修改、篡改、二次打包App代碼侵害。測評方法反編譯APK文件，重新打包安裝該篡改應用，檢測是否存在篡改后二次打包風險。使用調試證書發布應用編號增強級-源文件-Android-04測評項目使用調試證書發布應用問題描述AppAppApp施頻繁改動或者被迫取消，存在應用被二次打包風險。測評方法獲取App簽名證書文件并通過工具獲取證書所有者信息，判斷是否為調試證書。數據存儲安全動態調試攻擊編號增強級-數據存儲-Android-01測評項目動態調試攻擊問題描述CGDBIDAPtrace蹤運行目標程序，查看、修改內存中的代碼和數據，甚至分析篡改程序的業T/ISC0018—2022務邏輯，對客戶關鍵數據或者服務器進行惡意攻擊。測評方法安裝并運行App，檢測目標進程是否可動態調試。數據庫注入編號增強級-數據存儲-Android-02測評項目數據庫注入問題描述ContentProviderSql段參數作過濾判斷，App本地數據庫可能被注入攻擊。測評方法APKContentProviderURL，并執行其中的查詢，檢測是否有異常返回。SharedPreferences數據全局可讀寫編號增強級-數據存儲-Android-03測評項目SharedPreferences數據全局可讀寫問題描述SharedPreferencesAndroidSharedPreferences信息被其他程序讀寫。測評方法反編譯APK文件，檢測SharedPreferences數據是否全局可讀寫。InternalStorage數據全局可讀寫編號增強級-數據存儲-Android-04測評項目InternalStorage數據全局可讀寫問題描述InternalStorageAndroidInternalStorage息被其他程序讀寫。測評方法反編譯APK文件，檢測InternalStorage數據是否全局可讀寫。GetDir數據全局可讀寫編號增強級-數據存儲-Android-05測評項目GetDir數據全局可讀寫問題描述Context.GetDirAndroidInternalStorage其他程序讀寫。測評方法反編譯APK文件，檢測GetDir數據是否全局可讀寫.數據交互安全Intent組件隱式調用編號增強級-數據交互-Android-01測評項目Intent組件隱式調用問題描述IntentActivity、Service、BroadcastReceiver信息傳遞，可能存在該信息被未知的第三方應用劫持的風險。測評方法檢測Smali代碼通過Intent啟動組件時是否進行了顯式調用。T/ISC0018—2022IntentSchemeURL攻擊編號增強級-數據交互-Android-02測評項目IntentSchemeURL攻擊問題描述IntentSchemeURLsWebIntentApp攻擊者可構造特殊格式的URL直接向系統發送意圖，啟動App應用的Activity測評方法檢測使用Intent.ParseUrl解析時，是否對來源組件進行安全校驗。HTTPS未校驗服務器證書編號增強級-數據交互-Android-03測評項目HTTPS未校驗服務器證書問題描述HTTPS通信鏈接，即“中間人攻擊”。測評方法APKHTTPS安全校驗。數據安全防護機制界面劫持編號增強級-數據防護-Android-01測評項目界面劫持問題描述界面劫持是指當客戶端程序調用一個應用界面時，被惡意的第三方程序探仿冒界面并覆蓋在客戶端程序界面之上,用戶可能在無察覺的情況下將敏感信息輸入到仿冒的信息輸入界面中，惡意程序再把這些數據返回到服務器中，完成釣魚攻擊。測評方法App端進程。應用克隆編號增強級-數據防護-Android-02測評項目“應用克隆”漏洞問題描述當Android應用中存在包含Webview的可被導出Activity組件時，若該WebViewFileUrlHttp測評方法APKFileUrlHttp徑進行嚴格校驗。Root設備運行編號增強級-數據防護-Android-03測評項目Root設備運行問題描述AndroidRootT/ISC0018—2022SURootApp輸遭劫持等風險測評方法RootAppRoor動態注入攻擊編號增強級-數據防護-Android-04測評項目動態注入攻擊問題描述API進而實施Hook，監控程序運行、獲取敏感信息等。測評方法安裝App后，檢測是否可利用系統API成功進行動態注入。Janus簽名編號增強級-數據防護-Android-05測評項目Janus簽名漏洞問題描述JanusSignatureSchemeV1AppApp（影響Android4.0-Android7.0版本）測評方法AppAndroid7.0否使用V1+V2混合簽名模式。T/ISC0018—2022附錄D（資料性附錄）增強級iOSApp數據安全測評項目及方法源文件安全篡改/二次打包編號增強級-源文件-iOS-01測評項目篡改/二次打包風險問題描述缺少安裝包完整性、可靠性驗證機制，可導致遭惡意修改、篡改、二次打包App測評方法IPAA