安全测试报告首次上线
[前言]
为了提高三星手机应用品质和提升用户体验,三星针对三星应用商店上架应用进行了人工测试和全面的自动化测试,同时未来也会针对主流APP进行测试,促进手机和开发者优化问题,并定期输出测试报告让用户和APP开发者了解应用水平。
安全测试是三星自动化测试中重要一项, 采用四核引擎,覆盖更多病毒库,全面检测。围绕恶意扣费、信息窃取、恶意传播和流氓行为等方面进行测试, 力求保护用户隐私和安全。用户可在三星应用商店查看应用安全测试各项结果,如下图。
下面是4月上架应用安全测试报告:
安全通过率
针对三星应用商店2月底功能上线至5月底上架应用进行全面的安全测试,推动提高应用品质,以确保三星手机的安全生态环境,力争给用户提供更为安全的应用。四核引擎包括:腾讯安全、360安全、安天安全、泰尔安全。安全测试整体通过率超过99%。
影响安全通过的主要问题
根据中国互联网协会反网络病毒联盟发布的手机病毒技术规范《移动互联网恶意代码描述规范》,手机病毒分为恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为八大类恶意属性,下面是从2月底功能上线到5月底测试中发现的问题:
1、隐私窃取 是指在用户不知情或未授权的情况下,获取涉及用户个人信息的行为,具有隐私窃取属性;此类恶意行为导致用户隐私(如个人照片、手机号码、隐秘短信等)重要信息泄露,有可能被不法人员利用进行欺诈勒索、违法传播等活动。
2、资费消耗 是指在用户不知情或未授权的情况下,通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,导致用户资费损失;此类危害行为带来的危险后果是,不断消耗用户话费,给用户带来经济损失。
3、流氓行为 执行后对系统没有直接损害,也不对用户个人信息、资费造成侵害的其它恶意行为统称为流氓行为。危险后果主要表现为,间接的对用户手机造成影响,使用户不能方便的使用手机,并给用户手机带来安全隐患。比如占用系统资源,弹出广告等流氓行为。
4、系统破坏 通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其它非恶意软件部分或全部功能、用户文件等无法正常使用的,干扰、破坏、阻断移动通信网络、网络服务或其它合法业务正常运行的行为;其危险后果主要表现为系统破坏,导致用户手机无法正常使用,损害用户利益。
5、恶意扣费 是指在用户不知情或未授权的情况下,通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付。 此类危险具有恶意扣费属性,导致用户直接经济损失。
应用targetSdkVersion要求
同时安全测试也会对targetSdkVersion进行检测,targetSdkVersion的提高会增强用户的隐私、提高App的安全性、并提升 Android 的整体用户体验。
比如当targetSdkVersion为26或更高,在未获取用户明确批准的情况下,App无法访问用户账号,保护了用户的账号安全。当targetSdkVersion为23或更高,用户才能通过设定“在运行时请求权限”,完全控制 App 使用的权限和获取的隐私数据。
三星应用商店按照电信终端产业协会(TAF)发布的《移动应用软件高API等级预置与分发自律公约》规定执行:
自2019年5月1日起,新上架应用应基于Android 8.0 (API等级26,即targetSdkVersion大于等于26)及以上开发。
自2019年8月1日起,现有应用的更新应基于Android 8.0 (API等级26,即targetSdkVersion大于等于26)及以上开发。
下图是5月targetSdkVersion分布情况,相比4月情况已有很多应用升级。请低于26的应用尽快升级,避免影响应用上架和更新,同时让用户享受到API升级带来的好处。
-------------------------------------------------
如果您对安全测试有任何问题和想法欢迎发邮件到:
欢迎发邮件到:rdtpservice@samsung.com
邮件主题:三星安全测试 + APP名
后续我们会分享更多技术内容,敬请期待。
感谢您的关注和参与!
您还可关注“三星开发者”公众号查看相关开发者指引。