一、移动安全各类检测产品介绍

安全检测覆盖 Android APP、iOS APP 和 SDK 三大领域，基于动静双引擎检测技术，对移动应用潜在安全问题进行全面、深度的检测，且严格按照国家标准和行业规范，与 CNNVD、CVE 等国内外权威漏洞库联动，确保检测结果科学、客观、合理，避免 APP“带病上线”。

隐私合规检测，是通过动静双引擎检测，针对 APP 运行过程中 app 本身还有 SDK 的权限采集使用情况，会包括权限的调用分析，敏感行为的监测，抓包数据的分析，SDK 的运行分析，隐私合规自动化检测，用户上传应用以后，平台会把应用分发的真机平台进行自动化安装运行，自动化运行 5-10 分钟左右，然后收集这些数据回到平台整合自动化分析，最后出一个权限调用报告和风险报告

自动化的隐私合规检测，检测的项目主要包括 APP 的信息，如获取的系统权限、获取个人信息的频率，内容等，集成的第三方 SDK 使用情况、第三方调用敏感权限收集是否合规等等内容，动态检测的流程，内容，都会截图保留，以及抓包数据、权限调用位置的信息，都会有相应的体现在报告中。

（一）APP 渗透测试

以攻击者的视角对 APP 渗透测试，挖掘攻击者关心的敏感参数、APP 漏洞、服务端漏洞、接口漏洞，对服务端数据、服务安全造成威胁，提供渗透测试报告及专业修复建议，保护 APP 与服务端安全。

人工的隐私合规检测，因为隐私合规性，这一块内容，需要对照应用本身的业务，隐私政策来解读，单靠机器自动化的检测，内容具有专业性，机器出的报告，客户也不一定能完全解读的了，所以推出这个人工检测来解决客户 APP 的合规问题，主要流程比起自动化模式，机器检测后，会多一个人工复核的这个过程，对应用运行过程中的个人隐私信息获取、权限获取是否规范进行人工研判分析，并结合自动化检测数据，最后是出具人工检测报告

（二）隐私合规检测（个人信息保护）- 工信部

通过动静双引擎检测技术对手机应用采集权限、收集信息以及集成第三方 SDK 等检测，对检测结果进行分析，验证应用个人信息采集是否合规。

目前主流的隐私合规检测项，对个人信息相关的政策解读以后，以《App 违法违规收集使用个人信息行为认定方法》为基准的检测内容，主要包括公开收集使用规则；明示收集使用个人信息的目的、方式和范围 ；未经用户同意收集使用个人信息；收集无关的个人信息；向他人提供个人信息；提供删除或更正个人信息功能和投诉、举报方式等

（三）隐私合规检测功能

（四）隐私合规人工检测 - 工信部

1）获取检测 Apk 文件

使用用户提供的 Apk 文件或者通过用户提供的应用名称、应用版本号信息在应用宝等应用市场收集下载对应的 Apk 文件。

2）提交自动化权限检测引擎

将应用提交到自动化权限检测引擎，通过检测引擎，自动化执行，进行初步分析，获取应用的自动化执行信息和权限申请信息。

3）人工研判分析

检测人员二次安装运行应用，对应用运行过程中的个人隐私信息获取、权限获取是否规范进行人工研判分析，并结合自动化检测数据，填写人工权限检测报告。

4）报告输出

生成隐私合规人工检测报告。

5）整改复测

如果应用存在隐私合规问题，应用开发者根据人工检测报告中提供的整改建议进行调整，重新打包应用后进行再次检测，满足合规要求。

（五）隐私合规人工检测项 - 6 类 31 项

（六）APP 安全风险监测（仿冒感知）

对各类应用市场持续监测，及时发现市场上盗版仿冒应用，自动向 APP 开发者预警，协助客户下架盗版、仿冒应用。

渠道监测则是对各类应用市场持续监测，及时发现市场上盗版仿冒应用，自动向 APP 开发者预警，协助客户下架盗版、仿冒应用。

二、移动安全各类检测区别总结

总结一下各个检测的内容和应用场景的区别，第一个是安全类的，可以采用漏洞检测或者渗透检测的方式，保障 APP 的编码问题，代码安全，数据安全和接口安全，能够应对网信办、公安部的安全检测，以及在做一些专业备案认证之前的自测，相关联的政策如安全风险评估规范、漏洞等级划分指南，以及与国家信息安全漏洞库也有相对应的联动

而合规方面，则是采用隐私合规检测，通过动态检测的方式检测获取系统权限的行为、获取个人信息的行为、SDK 使用情况、敏感权限收集等，并通过人工研判分析各个数据的获取行为合规情况，能够应对工信部、通管局等隐私信息保护监管，相关联的政策，比如个人信息保护法、个人信息安全规范、违法违规收集使用个人信息行为认定方法等

而监测类的服务，主要的应用场景则是对仿冒类应用，盗版应用的监测，帮助开发者及时的发现这些问题 APP。