ICS35.110 YD M11 中华人民共和国通信行业标准 YD/T3474—2019 移动互联网应用程序安全加固能力 评估要求与测试方法 Technical requirement and evaluation requirements of mobile App scurity shield 2019-08-27发布 2019-10-01实施 中华人民共和国工业和信息化部 发布 YD/T3474—2019 目 次 前言 II 1范围. 2规范性引用文件.. 3术语、定义和缩略语.. 3.1术语和定义 3.2缩略语。 4移动应用程序安全加固安全检查技术要求 4.1禁止要求. 4.2身份验证要求.. 4.3追查要求 5移动应用程序安全加固的兼容性要求 3 6 移动应用程序安全加固的功能要求 6.1 概述. 3 6.2 防反编译功能. 6.3 防篡改功能. 6.4 防调试功能. 6.5 防注入功能. 6.6 防数据泄露功能. 6.7 防日志泄露功能.. 6.8 防界面劫持功能.. 6.9 防键盘监听功能. 6.10 防截屏录屏功能 7 移动应用程序安全加固的强度要求. 7.1 强度要求， 7.2 防反编译强度. 7.3 防篡改强度 7.4 防调试强度 7.5 防注入强度.. 7.6 防数据泄露强度 7.7 防日志泄露强度.. 7.8 防界面劫持强度.. 7.9 防键盘监听强度.. 7.10防截屏录屏强度 移动应用程序安全加固测试方法 8.1 总体说明 I YD/T3474—2019 8.2 测试环境 8.3 测试工具. 8.4 移动应用程序安全加固系统兼容性测试 .6 8.5 移动应用程序安全加固系统强度测试 YD/T3474—2019 前言 本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 标准起草单位：国家计算机网络应急技术处理协调中心、北京洋浦伟业科技发展有限公司、深圳市 腾讯计算机系统有限公司、北京奇虎科技有限公司、北京智游网安科技有限公司、北京娜迦信息科技发 展有限公司、阿里巴巴（中国）有限公司、恒安嘉新（北京）科技股份公司。 标准主要起草人：何能强、严寒冰、李海灵、强倩、何清林、汪立东、胡俊、陈阳、李世浣、刘婧、 饶毓、邹潇湘、王文磊、舒敏、陈悦、陈彪、方宁、陈春荣、张帆、霍亮、冯成蹊、林魏、程智力、阎 文斌、马宏亮、贾科、孙泽夺、阿曼太、糜波、李娜、汪霞。 II YD/T3474—2019 移动互联网应用程序安全加固能力评估要求与测试方法 1范围 本标准规定了Android操作系统平台上的应用程序安全加固的安全检查要求、兼容性要求、功能要 求、强度要求，以及安全加固能力评估的测试方法。 本标准适用于Android操作系统平台上的应用程序安全加固，同时适用于国家互联网应急协调组织 对应用程序安全加固能力进行评估。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 YD/T2439一2012移动互联网恶意程序描述格式 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本文件。 3.1.1 钩子hook 通过修改代码或地址等方法，拦截或改变某段代码的输入、输出或运行逻辑的技术。 3.1.2 移动互联网应用程序安全加固mobileInternetapplicationsecurityreinforcement 通过代码加密、代码混淆、防调试追踪、完整性校验等技术，防止App被恶意篡改，用于提高App 安全性的技术方法统称。 3.1.3 二次打包secondarypackaging 通过编译、反编译等工具对App进行代码反编译，并进行再次编译及打包并能够正常运行的技术 统称。 1 YD/T3474—2019 3.1.4 逆向分析reverseanalysis 一种产品设计技术再现过程，即对一项目标产品进行逆向分析及研究，从而演绎并得出该产品的处 理流程、组织结构、功能特性及技术规格等设计要素，以制作出功能相近，但又不完全一样的产品。 3.1.5 动态代码注入dynamiccodeinjection 通过操作系统提供的技术，可将特征代码写到目标程序空间并让其执行。 3.1.6 动态调试dynamicdebugging 使用调试工具对目标应用进行动态跟踪、分析的过程，帮助分析人员分析程序逻辑、获取中间数据 等。 3.1.7 SO库 share objectlibrary 采用C/C++语言开发的动态库，通过AndroidJava代码可以调用SO库接口，以获得比Java代码更 高的执行效率。 3.2缩略语 下列缩略语适用于本文件。 App Mobile Application 移动应用程序 APK Application Package 应用程序安装包 ART Android runtime Android系统运行模式 DEX Dalvik Executable Dalvik可执行文件 SO shared object 共享对象 USB UniversalSerialBus 通用串行总线 4移动应用程序安全加固安全检查技术要求 4.1禁止要求 通常恶意代码借助各种技术隐藏其特征以躲避杀毒软件测试，并且存在恶意代码借助加固技术对抗 安全检测的现象。加固服务提供商在加固前需对应用程序进行恶意代码检测，如果待加固App存在YD/T 2439一2012中规定的恶意行为，则禁止对存在恶意行为的App进行加固。 4.2身份验证要求 对App进行加固前，加固服务提供商须对App加固提交者的身份合法性进行验证并建立备案机制。 2