超级会员免费看
字节跳动的无恒实验室开源了appshark,这是一个针对Android App的自动化检测工具,专注于发现安全漏洞和隐私合规风险。appshark结合了指针分析与数据流分析,降低误报和漏报率,适用于企业内部检测和白帽子漏洞挖掘。通过加载规则集,appshark能高效地分析大型App,例如抖音和今日头条。文章介绍了如何使用appshark进行ContentProvider漏洞检测,并提供了快速上手指南。
一、背景
随着移动互联网的高速发展,人们的生产生活也逐渐从 PC 电脑端转移到手机等移动端,各类移动 App 也如雨后春笋般产生。受限于代码的开发质量等原因, App 中或多或少的会存在安全漏洞或因开发设计不谨慎引入的违规收集个人信息等合规风险,带着漏洞运行的 App 将严重威胁着网络及用户安全,合规问题则可能受到监管通报甚至存在下架处罚风险。
因此,企业也在加大人力进行漏洞及合规风险挖掘并推进修复等相关工作,目前行业内普遍采用人工审计加自动化检测工具去发现风险。不过随着数量越来越庞大的漏洞,以及 App 隐私合规等问题的出现,安全人员面临的挑战逐渐升级,故一个有效的漏洞及合规风险自动化检测工具将为安全人员的人工挖掘提供良好补充,也节省了大量时间和人力。
在字节跳动,面对数量众多的 App 产品需要在产品上线前发现隐私合规风险,挖掘出安全漏洞,保护用户的数据与隐私安全。而无恒实验室对业内自动化 App 漏洞检测工具进行了充分调研,最终发现这些工具或因为漏报、误报率太高导致需要消耗大量人力对扫描结果进行确认,或因为不开放源码导致无法根据特定的扫描需求进行定制化开发。为了能更好的实现高质量漏洞及隐私合规检测,无恒实验室自主研发了 appshark 引擎,用于漏洞
订阅专栏 解锁全文
扫一扫
2450
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
