DB32T 3374-2018 智能终端应用软件安全性测评技术要求

ICSL7735.080ICSL7735.080备案号：58110-2018DB32备案号：58110-2018DB32TechnicalTechnicalrequirementsofsecurityforsmartterminalapplicationstesting江苏省质量技术监督局IDB32/T3374—2018 12规范性引用文件 13术语、定义、缩略语 14测评目标 24.1总则 24.2测评目标 25测评方法 35.1收集用户数据 35.2修改用户数据 35.3流量耗费 45.4费用损失 45.5信息泄露 55.6安装与卸载 55.7启动与退出 65.8运行 65.9更新 75.10广告行为 75.11其他通用测试方法 10附录A（资料性附录）测评报告 11参考文献 DB32/T3374—2018本标准按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。本标准由江苏省软件工程标准化技术委员会提出并归口。本标准起草单位：南京市产品质量监督检验院、国家软件产品质量监督检验中心（江苏）、江苏苏测软件检测技术有限公司、南京大学、国网电力科学研究院、南京慕测信息科技有限公司。本标准主要起草人：程秀才、刘晓波、刘艳、王蕊、丁利、陈银平、荣鼎慧、房春荣、张小飞、郑珞林、徐剑锋。1DB32/T3374—2018智能终端应用软件安全性测评技术要求本标准规定了智能终端应用软件安全性测评技术要求的术语定义、测评目标和测评方法。本标准适用于移动智能终端第三方应用软件的安全性测评，个别条款不适用于特殊行业、专业应用。其他智能终端参考使用。2规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2408-2013移动智能终端安全能力测试方法3术语、定义、缩略语3.1术语、定义YD/T2408-2013界定的以及下列术语和定义适用于本标准。为了便于使用，以下重复列出了YD/T2408-2013中的某些术语和定义。3.1.1智能终端smartTerminal能够接入通信网络，具有能够提供应用程序开发接口的开放操作系统，并能够安装和运行第三方应用软件的智能终端。3.1.2智能终端应用软件applicationInSmartTerminal以应用逻辑封装文件包形式提供的、运行在智能终端开放式操作系统上的、供用户在应用发布平台下载的软件。3.1.3应用发布平台applicationIssuingPlatform通过商业方式为智能终端用户提供应用软件下载的平台。3.1.4数字签名digitalSignature2DB32/T3374—2018附在数据单元后面的数据，或对数据单元进行密码变换得到的数据。允许数据的接收者验证数据的来源和完整性，保护数据不被篡改、伪造，并保证数据的不可否认性。3.1.5恶意收费maliciousCharge在用户不知情或未授权的情况下由智能终端上应用软件造成的用户经济损失。3.1.6敏感信息sensitiveInformation不为公众所知悉,具有实际和潜在利用价值,丢失、不当使用或未经授权访问对社会、企业或个人造成危害的信息。3.1.7用户数据userData智能终端上存储的用户个人信息，包括由用户在本地生成的数据、为用户在本地生成的数据、在用户许可后由外部进入用户数据区的数据等。3.2缩略语下列缩略语适用于本标准。APP：智能终端应用软件(application)SQL：结构化查询语言（structuredQueryLanguage）URL：统一资源定位地址（uniform/universalresourcelacator）WLAN：无线局域网（wirelessLocalAreaNetwork）XSS：跨站脚本（crossSiteScripting）4测评目标4.1总则保证智能终端应用软件对敏感行为的可控性，确保无损害用户利益和危害网络安全的行为。示例：恶意吸费、未经授权的修改、删除、向外传送用户4.2测评目标测评智能终端应用软件是否符合国家相关法律、法规、标准和安全管理相关文件要求，为智能终端应用软件的安全规范提供技术和法律依据，主要包括：——智能终端应用软件在使用过程中向用户展示的互联网信息应符合国家和行业相关法律法规的规定，且不应危害社会公共安全；——智能终端应用软件的开发方应提供合法的身份信息，作为安全问题追溯的依据；——检测智能终端应用软件本身不应存在信息安全漏洞；——检测智能终端应用软件不应存在超越其功能范围收集手机用户隐私数据、故意偷跑流量、恶意消耗手机资源等安全隐患；3DB32/T3374—2018——为智能终端应用软件发布提供国家法律认可的第三方检测报告，详见附录A。5测评方法5.1收集用户数据5.1.1测试项目智能终端应用软件收集用户数据行为。5.1.2预置条件被测智能终端应用软件于正常工作状态。5.1.3测试步骤a)使智能终端应用软件信息安全测试系统（包括服务器和客户端软件）处于正常工作状态；b)将智能终端应用软件信息安全测试系统的客户端软件安装到移动智能终端上，并与服务器建立连接；c)使用基于特征码扫描、静态源代码分析、动态行为监测等检测方法，对被测智能终端应用软件未向用户明示并经用户同意，擅自收集用户数据的行为（包括在用户无确认情况下开启通话录音、本地录音、拍照/摄像和定位的行为）进行检测。5.1.4评测结果如智能终端应用软件信息安全测试系统显示被测应用软件无擅自收集用户数据的行为，则该项目评测结果为“未见异常”；反之，该项目评测结果为“不符合要求”。5.2修改用户数据5.2.1测试项目智能终端应用软件修改用户数据行为。5.2.2预置条件被测智能终端应用软件处于正常工作状态。5.2.3测试步骤a)使智能终端应用软件信息安全测试系统（包括服务器和客户端软件）处于正常工作状态；b)将智能终端应用软件信息安全测试系统的客户端软件安装到移动智能终端上，并与服务器建立连接；c)使用基于特征码扫描、静态源代码分析、动态行为监测等检测方法，对被测智能终端应用软件未向用户明示并经用户同意，擅自修改用户数据的行为（包括在用户无确认情况下删除或修改用户电话本数据、通话记录、短信数据和彩信数据的行为）进行检测。5.2.4评测结果如智能终端应用软件信息安全测试系统显示被测应用软件无擅自修改用户数据的行为，则该项目评测结果为“未见异常”；反之，该项目评测结果为“不符合要求”。4DB32/T3374—20185.3流量耗费5.3.1测试项目智能终端应用软件流量耗费行为。5.3.2预置条件：被测智能终端应用软件处于正常工作状态。5.3.3测试步骤a)使智能终端应用软件信息安全测试系统（包括服务器和客户端软件）处于正常工作状态；b)将智能终端应用软件信息安全测试系统的客户端软件安装到移动智能终端上，并与服务器建立连接；c)使用基于特征码扫描、静态源代码分析和动态行为监测等检测方法，对被测智能终端应用软件未向用户明示并经用户同意，擅自调用终端通信功能，造成用户流量消耗的行为（包括在用户无确认情况下通过移动通信网络数据连接、WLAN网络连接和无线外围接口传送数据的行为）进行检测。5.3.4评测结果如果智能终端应用软件信息安全测试系统显示被测智能终端应用软件无擅自调用终端通信功能，造成用户流量消耗的行为，则该项目评测结果为“未见异常”；反之，该项目评测结果为“不符合要求”。5.4费用损失5.4.1测试项目智能终端应用软件费用损失行为。5.4.2预置条件被测智能终端应用软件处于正常工作状态。5.4.3测试步骤a)使智能终端应用软件信息安全测试系统（包括服务器和客户端软件）处于正常工作状态；b)将智能终端应用软件信息安全测试系统的客户端软件安装到移动智能终端上，并与服务器建立连接；c)使用基于特征码扫描、静态源代码分析和动态行为监测等检测方法，对被测智能终端应用软件未向用户明示并经用户同意，擅自调用终端通信功能，造成用户费用损失的行为（包括在用户无确认情况下拨打电话、发送短信、发送彩信和开启移动通信网络连接并收发数据的行为）进行检测。5.4.4评测结果如果智能终端应用软件信息安全测试系统显示被测智能终端应用软件无擅自调用终端通信功能，造成用户费用损失的行为，则该项目评测结果为“未见异常”；反之，该项目评测结果为“不符合要求”。5.5信息泄露5DB32/T3374—20185.5.1测试项目智能终端应用软件信息泄露行为。5.5.2预置条件被测智能终端应用软件处于正常工作状态。5.5.3测试步骤a)使智能终端应用软件信息安全测试系统（包括服务器和客户端软件）处于正常工作状态；b)将智能终端应用软件信息安全测试系统的客户端软件安装到移动智能终端上，并与服务器建立连接；c)使用基于特征码扫描、静态源代码分析和动态行为监测等检测方法，对被测智能终端应用软件未向用户明示并经用户同意，擅自调用终端通信功能，造成用户信息泄露的行为（包括在用户无确认情况下读取并传送用户电话本数据、通话记录、短信数据、彩信数据、通话录音、本地录音、图片、视频、音频和定位信息的行为）进行检测。5.5.4评测结果如果智能终端应用软件信息安全测试系统显示被测智能终端应用软件无擅自调用终端通信功能，造成用户信息泄露的行为，则该项目评测结果为“未见异常”；反之，该项目评测结果为“不符合要求。5.6安装与卸载5.6.1测试项目智能终端应用软件安装与卸载测试。5.6.2预置条件5.6.3测试步骤a)检查智能终端应用软件在下载和安装过程中是否捆绑下载其他应用软件。b)检查智能终端应用软件安装时是否安装用户未知或未允许的第三方应用。c)检查智能终端应用软件安装时是否有安装界面，提示安装进度。d)检查智能终端应用软件在安装过程中是否可以随时取消安装。e)检查智能终端应用软件在安装完成后是否强制用户重启设备。f)检查智能终端应用软件是否提供卸载软件的方式，供用户随时卸载应用软件。g)检查智能终端应用软件是否卸载彻底。5.6.4评测结果智能终端应用软件满足以下评测结果时，则该项目评测结果为“未见异常”，反之，该项目评测结果为“不符合要求”：a)智能终端应用软件在下载和安装过程中没有捆绑下载其他应用软件；b)智能终端应用软件安装时没有安装用户未知和未允许的第三方应用；c)智能终端应用软件安装时有安装界面，提示安装进度；d)智能终端应用软件在安装过程中可以随时取消安装；6DB32/T3374—2018e)智能终端应用软件在安装完成后没有强制用户重启设备；f)智能终端应用软件提供卸载软件的方式，供用户随时卸载应用软件；g)智能终端应用软件卸载彻底，没有在系统中留下应用软件的临时文件和活动程序或模块。5.7启动与退出5.7.1测试项目智能终端应用软件启动与退出。5.7.2预置条件被测智能终端应用软件处于正常工作状态。5.7.3测试步骤a)检查智能终端应用软件是否可以开启或关闭开机自动运行功能；b)检查智能终端应用软件启动时是否自动连接某网站或链接；c)检查智能终端应用软件退出时是否停止运行所有属于该软件的进程。5.7.4评测结果智能终端应用软件满足以下评测结果，则该项目评测结果为“未见异常”，反之，该项目评测结果为“不符合要求”：a)智能终端应用软件可以开启或关闭开机自动运行功能；b)智能终端应用软件启动时没有自动连接某网站或链接；c)智能终端应用软件退出时停止运行所有属于该软件的进程。5.8运行5.8.1测试项目智能终端应用软件运行测试。5.8.2预置条件被测智能终端应用软件处于正常工作状态。5.8.3测试步骤a)检查智能终端应用软件在后台运行时是否让用户知晓；b)检查智能终端应用软件（除即时消息类等一些必须的应用）是否常驻通知栏；c)检查智能终端应用软件是否能够关闭常驻通知栏；d)检查智能终端应用软件在运行时是否强制用户下载其他应用，或在运行过程中未经用户许可在后台下载其他应用；e)检查智能终端应用软件在发送联网请求时，是否具备防止频繁联网的机制。5.8.4评测结果智能终端应用软件满足以下评测结果，则该项目评测结果为“未见异常”，反之，该项目评测结果为“不符合要求”：a)智能终端应用软件在后台运行时让用户知晓；7DB32/T3374—2018b)智能终端应用软件（除即时消息类等一些必须的应用）未常驻通知栏；c)智能终端应用软件能够关闭常驻通知栏；d)智能终端应用软件在运行时没有强制用户下载其他应用，或在运行过程中未经用户许可在后台下载其他应用；e)智能终端应用软件在发送联网请求时，具备防止频繁联网的机制。5.9更新5.9.1测试项目智能终端应用软件更新测试。5.9.2预置条件被测智能终端应用软件处于正常工作状态。5.9.3测试步骤a)检查智能终端应用软件在有更新版本时，是否提示用户，在用户允许后更新；b)检查智能终端应用软件更新失败后是否反复联网更新；c)检查智能终端应用软件在更新失败后是否能回到更新前的版本。5.9.4评测结果智能终端应用软件满足以下评测结果，则该项目评测结果为“未见异常”，反之，该项目评测结果为“不符合要求”：a)智能终端应用软件在有更新版本时，提示用户，在用户允许后更新；b)智能终端应用软件更新失败后没有反复联网更新；c)智能终端应用软件在更新失败后能回到更新前的版本。5.10广告行为5.10.1测试项目智能终端应用软件广告行为测试。5.10.2预置条件被测智能终端应用软件处于正常工作状态。5.10.3测试步骤a)检查智能终端应用软件是否存在通知栏广告；b)检查智能终端应用软件是否未经用户许可创建桌面快捷方式、书签、图标或修改默认设置等方式进行广告展示；c)检查智能终端应用软件在退出后是否依然存在；d)检查智能终端应用软件是否存在抢占用户手机锁屏的行为；e)检查智能终端应用软件是否存在积分墙，在应用的启动或使用过程中强制用户下载应用换取积分才可使用应用的主要功能。5.10.4评测结果8DB32/T3374—2018智能终端应用软件满足以下评测结果，则该项目评测结果为“未见异常”，反之，该项目评测结果为“不符合要求”：a)智能终端应用软件不存在通知栏广告；b)智能终端应用软件在用户许可后创建桌面快捷方式、书签、图标或修改默认设置等方式进行广告展示；c)智能终端应用软件在退出后不存在广告；d)智能终端应用软件不存在抢占用户手机锁屏的行为；e)智能终端应用软件不存在积分墙，在应用的启动或使用过程中强制用户下载应用换取积分才可使用应用的主要功能。5.11其他通用测试方法其他通用测试方法包括：a)静态测试：对源代码进行安全扫描，根据程序中数据流、控制流、语义等信息与其特有软件安全规则库进行匹对，从中找出代码中潜在的安全漏洞；b)动态的渗透测试：使用自动化工具或人工的方法模拟黑客的输入，对应用系统进行攻击性测试，从中找出运行时刻所存在的安全漏洞；c)程序数据扫描：数据扫描的手段通常是进行内存测试，内存测试可以发现许多诸如缓冲区溢出之类的漏洞；d)基于特征码的方法：检测程序中是否包含己知的恶意软件特征代码（一段特殊代码或字符串）。通常是提取应用程序的特征（字节或指令序列），然后与特征库进行相似性匹配；e)人工检测：专业安全人员对待检测应用，对其进行安装、运行和试用，通过在试用过程中，逐步掌握应用的特点，并通过专业经验，来圈定检测重点。人工专业检测在涵盖基础检测和深度检测的全部检测项的同时，兼顾侧重点检测，给予应用更全面、更专业、更贴合应用的量身打造的检测服务。9DB32/T3374—2018（资料性附录）测评报告A.1总则测评实施方在测评完成后，应向委托测评方提交正式的的测评报告，测评报告应包括但不限于以下a)测评对象概述；b)测评依据；c)测评概要；d)测评分析；e)测评结论；A.2测评对象概述对委托测评的单位、被测评对象名称、测评内容、测评范围等进行简要说明。A.3测评依据测评机构进行测评时所依据的基础，如国家有关法律、法规，以及国家、行业和地方现行的软件项目相关标准和规范等。A.4测评概要A.4.1测评人员列出参与该测评人员的角色、姓名和具体职责。可以表格形式罗列重要角色人员。A.4.2测评环境列出执行该测评时所搭建的软、硬件环境、