1.軟件權(quán)限

1）扣費風險：包括發(fā)送短信、撥打電話、連接網(wǎng)絡等

2）隱私泄露風險：包括訪問手機信息、訪問聯(lián)系人信息等

3）對App的輸入有效性校驗、認證、授權(quán)、敏感數(shù)據(jù)存儲、數(shù)據(jù)加密等方面進行檢測

4）限制/允許使用手機功能接人互聯(lián)網(wǎng)

5）限制/允許使用手機發(fā)送接受信息功能

6）限制/允許應用程序來注冊自動啟動應用程序

7）限制或使用本地連接

8）限制/允許使用手機拍照或錄音

9）限制/允許使用手機讀取用戶數(shù)據(jù)

10)限制/允許使用手機寫人用戶數(shù)據(jù)

11)檢測App的用戶授權(quán)級別、數(shù)據(jù)泄漏、非法授權(quán)訪問等

2.安裝與卸載安全性

1）應用程序應能正確安裝到設(shè)備驅(qū)動程序上

2）能夠在安裝設(shè)備驅(qū)動程序上找到應用程序的相應圖標

3）是否包含數(shù)字簽名信息

4）JAD文件和JAR包中包含的所有托管屬性及其值必需是正確的

5）JAD文件顯示的資料內(nèi)容與應用程序顯示的資料內(nèi)容應一致

6）安裝路徑應能指定

7）沒有用戶的允許,應用程序不能預先設(shè)定自動啟動

8）卸載是否安全,其安裝進去的文件是否全部卸載

9）卸載用戶使用過程中產(chǎn)生的文件是否有提示

10）其修改的配置信息是否復原

11）卸載是否影響其他軟件的功能

12）卸載應該移除所有的文件

3.數(shù)據(jù)安全性

1）當將密碼或其他的敏感數(shù)據(jù)輸人到應用程序時,其不會被儲存在設(shè)備中,同時密碼也不會被解碼

2）輸人的密碼將不以明文形式進行顯示

3）密碼,信用卡明細,或其他的敏感數(shù)據(jù)將不被儲存在它們預輸人的位置上

4）不同的應用程序的個人身份證或密碼長度必需至少在4一8個數(shù)字長度之間

5）當應用程序處理信用卡明細,或其他的敏感數(shù)據(jù)時,不以明文形式將數(shù)據(jù)寫到其它單獨的文件或者臨時文件中。以

6）防止應用程序異常終止而又沒有側(cè)除它的臨時文件,文件可能遭受人侵者的襲擊,然后讀取這些數(shù)據(jù)信息。

7）當將敏感數(shù)據(jù)輸人到應用程序時,其不會被儲存在設(shè)備中

8）備份應該加密,恢復數(shù)據(jù)應考慮恢復過程的異常通訊中斷等,數(shù)據(jù)恢復后再使用前應該經(jīng)過校驗

9）應用程序應考慮系統(tǒng)或者虛擬機器產(chǎn)生的用戶提示信息或安全替告

10）應用程序不能忽略系統(tǒng)或者虛擬機器產(chǎn)生的用戶提示信息或安全警告,更不能在安全警告顯示前,，利用顯示誤導信息欺騙用戶，應用程序不應該模擬進行安全警告誤導用戶

11）在數(shù)據(jù)刪除之前，應用程序應當通知用戶或者應用程序提供一個“取消”命令的操作

12）“取消”命令操作能夠按照設(shè)計要求實現(xiàn)其功能

13）應用程序應當能夠處理當不允許應用軟件連接到個人信息管理的情況

14）當進行讀或?qū)懹脩粜畔⒉僮鲿r,應用程序?qū)蛴脩舭l(fā)送一個操作錯誤的提示信息

15）在沒有用戶明確許可的前提下不損壞側(cè)除個人信息管理應用程序中的任何內(nèi)容Μ

16）應用程序讀和寫數(shù)據(jù)正確。

17）應用程序應當有異常保護。

18）如果數(shù)據(jù)庫中重要的數(shù)據(jù)正要被重寫,應及時告知用戶

19）能合理地處理出現(xiàn)的錯誤

20）意外情況下應提示用戶

4.通訊安全性

1）在運行其軟件過程中,如果有來電、SMS、EMS、MMS、藍牙、紅外等通訊或充電時,是否能暫停程序，優(yōu)先處理通信,并在處理完畢后能正?；謴蛙浖?繼續(xù)其原來的功能

2）當創(chuàng)立連接時,應用程序能夠處理因為網(wǎng)絡連接中斷,進而告訴用戶連接中斷的情況

3）應能處理通訊延時或中斷

4）應用程序?qū)⒈３止ぷ鞯酵ㄓ嵆瑫r,進而發(fā)送給用戶一個錯誤信息指示有連接錯誤

5）應能處理網(wǎng)絡異常和及時將異常情況通報用戶

6）應用程序關(guān)閉或網(wǎng)絡連接不再使用時應及時關(guān)閉)斷開7)?HTTP、HTTPS覆蓋測試

--App和后臺服務一般都是通過HTTP來交互的，驗證HTTP環(huán)境下是否正常；

--公共免費網(wǎng)絡環(huán)境中（如：麥當勞、星巴克等）都要輸入用戶名和密碼，通過SSL認證來訪問網(wǎng)絡，需要對使用HTTP?Client的library異常作捕獲處理。

5.人機接口安全性

1）返回菜單總保持可用

2）命令有優(yōu)先權(quán)順序

3）聲音的設(shè)置不影響應用程序的功能

4）應用程序必需利用目標設(shè)備適用的全屏尺寸來顯示上述內(nèi)容

5）應用程序必需能夠處理不可預知的用戶操作,例如錯誤的操作和同時按下多個鍵

目前國內(nèi)的移動應用安全檢測平臺——愛內(nèi)測（http://www.detect.cn），已經(jīng)提供這上面五個問題的檢測，并能提供修復的建議，為開發(fā)者解決一大難題。