ICS35.240.01 CCSL70 移动互联网应用程序SDK安全技术要求及测 试方法 SecuritytechnicalrequirementsandtestmethodsofmobileapplicationSDK 2022-08-05发布 2022-11-05实施团体标准 T/ISC0017—2022 中国互联网协会 发布 全国团体标准信息平台 全国团体标准信息平台 I目  次 目  次...............................................................................I 前  言..............................................................................II 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4缩略语...............................................................................1 5移动互联网应用程序SDK安全要求.......................................................2 6移动互联网应用程序SDK安全测试方法...................................................3 附录A（资料性）移动互联网应用程序SDK典型安全风险..............................11 全国团体标准信息平台 II前  言 本文件按照GB/T1.1-2020给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中国互联网协会归口。 本文件主要起草单位：中国信息通信研究院、中国电信集团公司、中国移动通信集团有限公司、中 国联合网络通信集团有限公司、北京腾云天下科技有限公司、深圳市和讯华谷信息技术有限公司、深圳 凡泰极客科技有限责任公司、北京贵士信息科技有限公司、每日互动股份有限公司、深圳市网安计算机 安全检测技术有限公司、北京数智鑫源科技有限公司 本文件主要起草人：解伯延、王丹辉、钟子呈、江为强、谢玮、陈湉、刘明辉、耿冠和、蔡逆水、 张峰、刘畅、徐积森、吴连勇、葛梦莹、陈光炎、马超、史坤坤、梁启鸿、杨涛、任馨怡、张青峰、董 霖、郄世杰、方毅、黄伟杰、郑建鹏、任江辉、柯国锋、宫琦 全国团体标准信息平台 T/ISC0017—2022 1移动互联网应用程序SDK安全技术要求及测试方法 1范围 本文件规定了移动互联网程序（App）软件开发工具包（SDK）的开发、运营中的安全要求，并描述 了满足这些安全要求的证实方法。 本文件适用于移动互联网应用程序SDK安全测评工作，为相关机构强化测评能力、健全技术手段提 供指引，为SDK开发者提升其产品安全水平提供参考。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069—2010信息安全技术术语 3术语和定义 下列术语和定义适用于本文件。 3.1 移动互联网应用程序mobileinternetapplication 通过预装、下载等方式获取并运行在移动智能终端上，向用户提供服务的应用软件，简称App。 注：本文件中的App，包括移动智能终端预置的App、可以通过网站、应用商店等应用分发平台下载、安装和升级 的App，及小程序等基于宿主App平台的应用软件。 3.2 软件开发工具包softwaredevelopmentkit 协助软件开发的软件库，通常包括相关二进制文件、文档、范例和工具的集合，简称SDK。 3.3 移动互联网应用程序提供者mobileinternetapplicationprovider 移动互联网应用程序的所有者或运营者，简称App提供者。 3.4 最终用户enduser 在移动终端设备上使用移动互联网应用程序的个人用户，即App用户。 4缩略语 全国团体标准信息平台 2下列缩略语适用于本文件。 SDK：软件开发工具包（SoftwareDevelopmentKit） App：移动互联网应用程序（MobileInternetApplication） Demo：展示样本（Demonstration） 5移动互联网应用程序SDK安全要求 5.1基本安全要求 SDK基本安全要求如下： a)应确保分发过程具备有效的完整性校验机制，避免提供的代码、资源文件遭篡改。 b)应确保分发包、Demo包内不包含病毒、木马等恶意程序。 c)应避免调试信息函数输出通信日志、关键变量等敏感信息。 d)应避免分发包、Demo包内残留内网URL、测试账号、测试数据等测试信息。 e)应避免嵌入与业务功能无关的插件、代码，或在分发包中私自打包提供其他SDK产品。 f)申请系统权限应遵循最小必要原则，避免索要非实现业务功能所必须的权限。 5.2数据存储安全要求 SDK数据存储安全要求如下： a)应对存储于最终用户设备上的含有个人信息、重要数据的文件进行加密（如库表加密、文件加 密等），避免被宿主App、其他App、恶意程序等非法访问、篡改。 b)宜对与宿主App或其他本地程序共同处理、使用的数据进行加密处理，并约定安全有效的解密方 案，确保数据的合法授权访问。 c)应对存储于最终用户设备上的数字证书文件进行加密，避免数字证书泄露或遭非法篡改。 d)应对存储于最终用户设备上的备份数据进行加密，避免备份数据泄露。 e)应限制本地存储的配置信息、用户偏好等轻量数据读写权限，避免遭其他程序越权访问、篡改。 f)宜限制个人信息、重要数据本地存储时间，确保到期数据自动删除。 g)应避免本地存储去标识化数据与原始标识的对应关系信息，防止相关信息泄露导致去标识化失 效。 h)应避免本地存储明文的鉴权信息（如账号、密码等），宜采用加随机盐的哈希值方式存储相关 数据，避免用户个人敏感信息泄露。 5.3数据交互安全要求 SDK与宿主App、服务端数据交互应满足的安全要求如下： a)应采用安全的传输协议确保SDK与服务端数据交互的机密性、完整性、可用性。 b)涉及个人信息、重要数据传输的场景，应采用HTTPS等加密传输协议或对相关数据单独加密，确 保个人信息加密传输。 c)使用HTTPS传输协议时，宜开启SDK与服务端的双向验证机制，确保服务端身份真实性。 d)使用HTTPS自定义证书时，应对服务端主机名进行校验，验证服务端主机身份。 e)应使用安全的加密算法、密钥生成机制，避免使用不安全的加密算法（如RC4、AESECB或OFB 工作模式等），避免加密算法破解。 5.4重要组件安全要求 全国团体标准信息平台 T/ISC0017—2022 3SDK使用系统功能组件应满足的安全要求如下： a)应在使用组件调用系统功能时确保其配置安全性，避免出现配置不合理导致的安全风险。 b)应在使用组件调用系统功能时遵循最小必要原则，避免调用与实现业务功能无关的功能。 c)调用网页视图（WebView）应确保其配置安全性，避免出现配置不合理导致的安全风险。 d)调用网页视图（WebView）实现与服务端交互时，应符合5.1.3章节各项要求。 e)宜在调用Intent组件时验证接收方合法性并对参数进行过滤，避免出现越权调用、隐式调用等 风险。 f)宜在调用Intent组件时增加异常捕获机制，避免出现程序崩溃等风险。 5.5代码及资源文件安全要求 SDK代码及资源文件安全要求如下： a)宜采用代码混淆、加固等手段提高逆向分析的难度，降低关键函数、逻辑等泄露风险。 b)宜对本地存储的so文件进行加固/混淆处理，避免敏感信息泄露。 c)宜对本地存储的h5资源文件进行加密处理，避免资源文件遭篡改。 d)如采用资源文件热更新技术，宜对文件解压文件名进行限制，避免更新的资源文件被非法获取。 e)宜对本地存储的so文件进行地址空间随机化,降低缓冲区溢出攻击风险。 f)宜对本地存储的so文件进行编译器堆栈保护，避免栈溢出时系统不对程序进行保护。 g)宜对本地存储的密钥、证书进行加密，避免本地密钥、证书泄露或遭篡改。 h)宜避免代码内存在硬编码或强耦合的URL地址，避免链接遭篡改。 6移动互联网应用程序SDK安全测试方法 6.1基本安全测评 编号 基本安全-1 测评项目SDK分发缺少完整性校验 风险描述分发过程缺少完整性校验机制可能导致App提供者获取伪造、遭篡改的SDK代码。 标准要求5.1a) 测评方法访问SDK下载渠道，查验是否提供hash值比对、签名证书等完整性校验机制。 测评结果存在风险：分发渠道提供了完整性校验机制。 未见异常：分发渠道未提供完整性校验机制。 编号 基本安全-2 测评项目内含恶意程序 风险描述分发包内含有病毒、木马等恶意程序对App提供者、最终用户均可能造成安全威胁。 标准要求5.1b)