团 体 标 准
T/CCSA 549—2024 T/CAAAD 002-2024
互联网广告 自动化工具安全测评规范
Internet advertising——Security testing specification for automation tools
2024 - 07 - 03 发布 2024 - 10 - 03 实施
中国广告协会 中国通信标准化协会 发 布
T/CCSA 549—2024 T/CAAAD 002-2024
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由中国广告协会和中国通信标准化协会共同提出,并分别归口。
本标准起草单位:中国信息通信研究院、中国广告协会、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、华为软件技术有限公司、北京快手科技有限公司、北京风行在线技术有限公司、秒针信息技术有限公司、北京国双科技有限公司、尼洱市场研究(上海)有限公司、央视市场研究股份有限公司、北京回旋加速网络科技有限公司。
本标准主要起草人:陈婉莹、杨正军、杨阳、潘柳琴、刘骁、霍焰、崔妍、李光、倪萍、李克鹏、姚一楠、欧阳书馨、落红卫、赵笑凤、刘力泉、吴充、葛宝勤、苏婧、王弢。
引 言
为适应信息通信发展对标准文件的需求,由中国通信标准化协会和中国广告协会共同组织制定本文件,推荐有关方面采用。有关对本文件的建议和意见,向中国通信标准化协会和中国广告协会反映。
近年来,随着移动智能终端设备的普及、移动互联网累计接入流量的增长以及移动互联网用户的增加,互联网营销也在随之由PC端向移动端迁移,形成移动互联网广告新模式。在移动互联网广告领域,包括广告展示、移动归因、广告监测、营销分析等等多种类型的服务均可通过以SDK为主要模式的第三方自动化工具包来完成,但第三方自动化工具包仍存在不少问题。第三方自动化工具包开发往往侧重于功能性的完善,而在安全性方面投入较少,且由于第三方自动化工具包被广泛使用到大量的App中,造成漏洞的影响范围非常大。同时,部分第三方自动化工具包存在隐瞒收集用户个人信息的行为,间接造成App违规,甚至被直接下架。明明是第三方自动化工具包的问题,最终买单的却是广大用户和App开发者。
为解决行业痛点问题,提升第三方自动化工具包安全性,帮助App开发者评估第三方自动化工具包安全,有必要制定针对互联网广告第三方自动化工具包的安全测评规范。
互联网广告 自动化工具安全测评规范
1 范围
本文件规定了对互联网广告自动化工具恶意行为、代码安全、自身安全、算法安全、网络通讯安全、数据交互安全、数据存储安全、组件安全、漏洞与风险防范、与APP联动、隐私协议等方面的测评要求与方法。
本文件适用于对第三方移动互联网广告自动化工具的安全测评,可包括程序、脚本、接口、软件开发工具包(SDK)等多种形式,也可为移动互联网广告自动化工具设计开发提供参考。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语、定义和缩略语
3.1 术语和定义
下列术语和定义适用于本文件。
3.1.1
移动互联网广告自动化工具 mobile internet advertising automation tools
为实现移动互联网广告展示、归因、监测、分析等相关功能开发的,面向应用软件提供的代码打包文件,可包括程序、脚本、接口、软件开发工具包(SDK)等。
3.2 缩略语
下列缩略语适用于本文件。
AES:高级加密标准(Advanced Encryption Standard)
API:应用程序接口(Application Programming Interface)
APP:应用软件(Application)
ARC: 自动引用计数(Automatic Refrence Counting)
DES:数据加密标准(Data Encryption Standard)
ECB: 电码本(Electronic Codebook)
HTTP:超文本传输协议(Hyper Text Transfer Protocol)
HTTPS:超文本传输安全协议(Hyper Text Transfer Protocol over SecureSocket Layer)
OFB:输出反馈(Output-Feedback)
PIE:执行地址无关(Position Independent Executable)
SD:安全数字(Secure Digital)
SDK:软件开发工具包 (Software Development Kit)
SSP:栈溢出保护功能(Stack Smashing Protection)
TDES:三重数据加密标准(Triple Data Encryption Standard)
URL:统一资源定位系统(Uniform Resource Locator)
VPN:虚拟专用网络(Virtual Private Network)
4 概述
4.1 测评方法
移动互联网广告自动化工具的安全测评规范中涉及的方法主要包括:
——文档审核 :文档审核是指被测评机构向测评机构提供包含有测评产品相关信息的说明文档,以向测评员提供产品安全策略、澄清风险或提供证据;
——自动化测评: 自动化测评指使用自动化测评工具,对测评产品进行漏洞扫描、静态测试等,分析测评产品的代码安全;
——使用验证:使用验证指测评机构对集成到 APP 中的测评产品进行使用、分析, 以验证测评产品的自动化测评结果, 以及验证是否存在有不符合提交文档的情况。
4.2 结果描述
本文件描述了移动互联网广告自动化工具安全测评规范。测评结果有以下两种:
——未见异常:通过测评方法没有发现存在违反安全测评要求的情况,符合安全要求;
——存在风险:通过评估方法发现存在违反安全测评要求的情况,存在一定风险,风险分为高危、中危、低危三等。
4.3 测评流程
测评流程如图1所示。
图 1 评估流程
被评估机构向评估机构提供相关产品以及说明文档,产品包括:
——测评产品;
——集成测评产品的APP;
——功能说明;
——技术文档;
——用户手册。
文档包括:
——隐私协议;
——合作合同;
——安全保证性文档;
——其他证明文档。
测评机构测试、验证被测评机构提供的产品、文档,得出测评结果。
4.4 测评内容
移动互联网广告自动化工具的安全测评内容框架如图2所示,其中Android端和iOS端不同格式文件安全测评详细测试项参见附录A,与APP联动测评和隐私协议测评文档审核记录表模版参见附件B。
图 2 测评内容框架
5 Android 端安全测评要求与方法
5.1 恶意行为检测
5.1.1 敏感内容
5.1.1.1 敏感函数检测
5.1.1.2 敏感词汇检测
5.2 安全规范检测
5.2.1 源代码安全
5.2.1.1 SO 文件加固检测
5.2.1.2 Java 代码混淆检测
5.2.1.3
日志函数泄漏风险
5.2.1.4 动态加载 SO 文件风险
5.2.1.5 测试信息残留风险
5.2.1.6 URL 硬编码检测
5.2.1.7 内网测试信息残留风险
5.2.1.8 启动隐藏服务风险
5.2.1.9 动态加载 DEX 文件风险
5.2.1.10
硬编码风险
5.2.1.11
单元测试配置风险
5.2.2 自身安全
5.2.2.1 资源文件泄露风险
5.2.2.2 证书明文存储风险
5.2.2.3 Java 层动态调试风险
5.2.2.4 应用测试模式发布风险
5.2.2.5 资源文件包含 APK 检测
5.2.2.6 开发商自定义服务风险
5.2.2.7 未保护的自定义权限风险
5.2.3 算法使用安全
5.2.3.1 AES/DES/TDES 加密算法不安全使用风险
5.2.3.2 RSA 加密算法不安全使用风险
5.2.4 网络通讯安全
5.2.4.1 HTTPS 未校验服务器证书风险
5.2.4.2 HTTPS 未校验主机名风险
5.2.4.3 HTTPS 允许任意主机名风险
5.2.4.4 传输通道风险
5.2.4.5 中间人攻击风险
5.2.4.6 访问境外服务器风险
5.2.4.7 联网环境检测
5.2.5 数据交互安全
5.2.5.1 getDir 数据全局可读写风险
5.2.5.2 Intent 敏感数据泄露风险
5.2.5.3 Pending Intent 误用 Intent 风险
5.2.5.4 发送广播信息泄漏风险
5.2.5.5 随机数不安全使用风险
5.2.6 数据存储安全
5.2.6.1 内部文件全局读写风险
5.2.6.2 SD 卡数据泄漏风险
5.2.6.3 ShardPreference 全局读写风险
5.2.6.4 SQLite 数据库全局读写风险
5.2.6.5 SQL 数据库注入风险
5.2.6.6 剪贴板信息泄露风险
5.2.6.7 应用数据任意备份风险
5.2.6.8 数据存储位置风险
5.2.7 组件安全
5.2.7.1 Fragment 注入风险
5.2.7.2 动态注册广播风险
5.2.7.3 WebView 组件忽略 SSL 证书验证错误风险
5.2.7.4 WebView 密码明文存储风险
5.2.7.5 Activity 最小化权限检测
5.2.7.6 Service 最小化权限检测
5.2.7.7 Broadcast Receiver 最小化权限检测
5.2.7.8 Content Provider 最小化权限检测
5.2.7.9 WebView 组件克隆应用漏洞
5.2.7.10 WebView File 域同源策略绕过风险
5.2.7.11
启用VPN 服务检测
5.2.7.12 Intent URL Scheme 攻击风险
5.2.7.13
Intent 隐式调用风险
5.2.7.14 Webview 远程调试风险
5.2.7.15 Activity 组件本地拒绝服务
5.2.7.16 Service 组件本地拒绝服务
5.2.7.17 Broadcast Receiver 组件本地拒绝服务
5.2.7.18 Content Provider SQL 注入风险
5.2.7.19 Content Provider 目录遍历风险
5.3 漏洞与风险防范检测
5.3.1 恶意攻击防范能力
5.3.1.1 恶意可执行程序感染漏洞
5.3.1.2 运行其它可执行程序漏洞
5.3.1.3 本地端口开放越权漏洞
5.3.1.4 下载任意 apk 风险
5.3.1.5 SO 未使用地址空间随机化风险
5.3.1.6 SO 未使用编译器堆栈保护风险
5.3.2 已知漏洞检测
5.3.2.1 FFmpeg 任意文件读取漏洞
5.3.2.2 fastjson 反序列化远程代码执行漏洞
5.3.2.3 WebView 系统隐藏接口未移除漏洞
5.3.2.4 WebView 组件克隆应用漏洞
5.3.2.5 WebView 组件远程代码执行漏洞
5.3.2.6 "寄生推"SDK 云控漏洞
5.3.2.7 ZipperDown 漏洞
6 iOS 端安全测评要求与方法
6.1 恶意行为
6.1.1 敏感词检测
6.1.2 Private Frameworks 检测
6.1.3 获取前台应用风险
6.1.4 敏感路径引用风险
6.1.5 Private Methods 使用检测
6.2 安全编译
6.2.1 未使用自动管理内存技术风险
6.2.2 未使用编译器堆栈保护器技术
6.3 代码安全
6.3.1 调试日志函数调用风险
6.3.2 弱加密函数使用风险
6.3.3 弱哈希算法使用风险
6.3.4 随机数不安全使用风险
6.3.5 Malloc 方法调用检测
6.3.6 不安全的API 函数引用风险
6.3.7 URL 信息泄漏风险
6.3.8 资源文件泄露风险
6.3.9 符号未混淆风险
6.4 数据存储安全
6.4.1 剪贴板信息泄露风险
6.4.2 数据明文存储风险
6.4.3 配置文件信息明文存储风险
6.5 恶意攻击防范
6.5.1 XcodeGhost 感染漏洞
6.5.2 iBackDoor 控制漏洞
6.5.3 ZipperDown 漏洞
6.5.4 YOUMI 恶意 SDK 漏洞
6.5.5 Webview 组件跨域访问漏洞
6.6 数据传输完整性
6.6.1 HTTP 传输数据风险
6.6.2 HTTPS 未校验服务器证书风险
6.6.3 URL Schemes 劫持风险
7 与 APP 联动测评要求与方法
7.1 非强制
7.2 安全事件告知
7.3 个人信息处理规则告知
7.4
第三方代码明示
7.5 个人信息提供
7.6 广告标识符
7.7 合作协议
7.8 配合监督
7.9 配合响应
7.10 安全检测报告
7.11 合作结束
8 隐私协议测评要求与方法
8.1 制定隐私协议
8.2 隐私协议内容
8.3 隐私协议公开
附 录 A
(资料性)
不同格式文件测试项
附 录 B
(资料性)
文档审核记录表
参 考 文 献
[1]中华人民共和国网络安全法[Z].2016.
[2]中华人民共和国数据安全法[Z].2021.
[3]中华人民共和国个人信息保护法[Z].2021.
[4]APP违法违规收集使用个人信息行为认定方法 :国信办秘字〔2019〕191号[Z].2019.
[5]信息安全技术 个人信息安全规范:GB/T 35273-2020[S].2020.
[6]信息安全技术 移动互联网应用程序(App)收集个人信息基本规范:GB/T 41391-2022[S].2022.
[7]信息安全技术 个人信息告知同意指南:GB/T 42574-2023[S].2023.
[8]信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范:GB/T 42582-2023[S].2023.
[9]信 息 安全 技 术 移动 互联 网应 用程 序(App) 软 件开 发 工 具包( SDK ) 安 全要 求 :GB/T 43435-2023 [S].2023.
[10]网 络 安 全 标 准 实 践 指 南 — 移 动 互 联 网 应 用 程 序 (App)收 集 使 用 个 人 信 息 自 评 估 指南 :TC260-PG-20202A[S].2020.
[11]网络安全标准实践指南—移动互联网应用程序(App) 个人信息保护常见问题及处置指南 :TC260-PG-20203A[S].2020.
[12]网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引 :TC260-PG-20205A[S].2020.
[13]互联网广告数据应用和安全技术要求:TCAAAD 001-2021/TCCSA 329-2021[S].2021.
[14]移动智能终端应用软件SDK安全技术要求:TAF-WG4-AS0057-V1.0.0 2020[S].2020.
评论