国内Android开发良莠不齐,开发质量绝大多数都是不合格的产品,只为了上线而开发,没有任何的规范和约束。从安全和性能来说,绝大多数App在这方面都是考虑不完善的,安全风险高,性能差,99%的app都存在安全风险和漏洞。总体上给用户的体验就很差劲,老有人抱怨说Android多难用,太坑。其实一个是手机厂商定制化严重,更多的是App开发商不注重性能、安全、稳定性等质量上的把关。所以,以华为打头的国内几个大厂开始联合打造一个统一的质量标准,也就是“安卓绿色联盟”。
一、2018年移动应用测评相关报告
注:由于报告上面的文字太多,不便于查阅,我就把它们全部做成了一个表格,方便查看。
(一)Testin云测发布2018年度移动应用安全报告
总体概况
分类概况
(二)爱加密全国移动APP安全性研究报告
移动应用安全平台扫描了 270 多万个 APP,其中,有漏洞的 APP 约 183 万个,占监测总数的 67.77%。
约 181 万个 APP 存在高危漏洞,占监测总数的 67.04%。
(三)2018年Android应用安全白皮书
选取了2018年下载量较高的1404个APP应用,进行漏洞扫描。
image.png
二、简介
安卓绿色联盟是中国首个致力于提升安卓应用体验的联合组织。安卓绿色联盟是一个开放的非盈利性组织,欢迎更多的企业加入其中,旨在共同构建中国安卓绿色应用环境,打造安全,可靠,信赖,健康的应用生态,不断给用户带来极致的应用体验,联盟成立后迅速吸引众多企业加盟,队伍在不断壮大中。
安卓绿色联盟2016年11月14日由华为主导,联合阿里巴巴、百度、腾讯、网易四家企业共同发起的。五家创始企业在电商、生活服务、搜索、社交应用、游戏、大文娱以及终端设备层面都具有极高的主流代表性,涉及的应用多达 500多个,涵盖了众多主流移动应用,几乎覆盖所有国内终端用户,集众家之所长优化应用体验,共同制定行业标准打造生态环境,为全行业和广大消费者服务。
安卓绿色联盟官网:https://www.androidga.com/
三、五大体系
(1)兼容性标准
| 问题描述 | 判定标准 | 合格用例 |
|---|---|---|
| 应用安装 | 判断应用在测试过程中是否出现安装不成功现象。 | 应用能成功安装,或者应用在卸载之后,再次成功安装。 |
| 启动 | 判断应用在启动后在未做任何操作前应用是否出现以下情况:如启动闪退、启动卡死、启动后资源加载失败等。 | 应用正常启动成功 |
| 崩溃 | 判断应用在运行过程中,是否出现异常,弹出崩溃对话框,导致应用不可用、退出应用的情况。 | 应用在运行过程中无崩溃 |
| 无响应(ANR) | 判断在用户正常操作的情况下,应用是否在运行过程中突然会弹出对话框,出现"Application Not Responding"错误,提示用户是否选择关闭该程序或是继续等待。 | 应用在运行过程中不出现"Application Not Responding"错误 |
| 黑白边 | 判断应用的UI是否出现不适配屏幕,在屏幕的某一个侧边出现全黑屏或白屏的现象。 | 应用在启动后,不出现黑边或白边的情形 |
| 系统特性支持 | 系统特性支持包含:应用能否正确调用相机拍照功能、调用选取图片功能、调用定位功能、调用麦克风识别语音的功能、正确旋转屏幕和应用指定兼容的目标系统版本是否通过。 | 调用相机拍照功能成功、调用选取图片功能成功、调用定位功能成功、调用麦克风识别语音的功能成功、应用旋转屏幕成功、TargetSdkVersion>=23时通过,否则失败。 |
| 账号异常 | 在使用正常的应用账号在网络正常的情况下,是否无法登陆该应用。 | 应用能正确完成内置账号以及第三方账号的登录认证功能 |
| UI适配 | App运行测试过程中是否出现的UI展示异常的情况:如黑屏、花屏、白屏、文字异常、展示缺失等。 | 应用中的控件不发生变形、错位、缺失或冗余。 |
(2)稳定性标准
相关术语:
崩溃:在用户正常操作的情况下,应用突然出现应用强行退出、无响应等完全不可用的情况。
2.1 崩溃率线上标准
| 问题描述 | 判定标准 | 合格用例 |
|---|---|---|
| 1.启动崩溃率 | 应用一天中出现的Crash总数在应用一天中总启动次数中的比率。启动崩溃率=(应用一天中出现的Crash总数/应用一天中总体的启动次数)x100% | 一天中启动崩溃率 ≤ 0.2%(具体不同类型app可以略有不同) |
| 2.用户或设备崩溃率 | 一天中出现Crash的用户数(设备数)在整体活跃用户数(活跃设备数)中的比率。用户或设备崩溃率=(应用一天中发生的Crash的用户数(去重)/应用一天中总体的活跃用户数)x100% | 一天中用户或设备崩溃率 ≤ 0.2%(具体不同类型app可以略有不同) |
2.2 崩溃率线线下测试及处理标准
| 问题描述 | 判定标准 | 合格用例 |
|---|---|---|
| 1.崩溃率线下测试 | a. 稳定性测试要覆盖80%用户的主流机型 b. 安装、启动等场景必须覆盖 c. Monkey确保覆盖页面>70% d. 完成8小时Monkey不出现崩溃 |
覆盖机型:至少覆盖应用目标用户机型分布中top10,保证80%的机型被覆盖到。 覆盖场景:全新安装、覆盖安装、冷启动、热启动及8小时Monkey,Monkey过程要能覆盖登录与非登录状态,通过优化执行路径、多机运行累加结果等方式,保证页面覆盖率>70%。 |
| 2.崩溃信息收集及处理标准 | 是否有完善的线上Crash上报及处理机制 | 获取信息包括但不限定于: a. 手机基础信息,如品牌、机型、系统版本、地理位置、运营商、网络类型、用户名等 b. Crash堆栈信息 c. 日志信息:用户操作日志、系统日志等 d.聚合大量同类Crash后,给出此Crash发生的特征数据,如机型分布、应用版本分布、地理分布等信息,方便进行问题定位 |
2.3 不同类型应用崩溃率标准值(具体值还需要再确定)
| 应用类型 | 参考启动崩溃率 | 参考设备崩溃率 |
|---|---|---|
| 影音娱乐 | 0.15% | 0.2% |
| 社交通讯 | 0.15% | 0.2% |
| 游戏 | 0.15% | 0.2% |
| 购物 | 0.15% | 0.2% |
| 金融理财 | 0.15% | 0.2% |
| 实用工具 | 0.15% | 0.2% |
| 导航 | 0.15% | 0.2% |
| 新闻阅读 | 0.2% | 0.3% |
| 教育 | 0.2% | 0.3% |
(3)安全标准
3.1 基础安全标准
| 问题描述 | 合格用例 | 详细说明 |
|---|---|---|
| 安装,运行及卸载 | ||
| - | 1.应用在用户未授权情况下,不能进行程序下载、安装、或升级操作; | |
| - | 2.应用在用户未授权情况下,不能执行自启动操作; | |
| - | 3.应用在用户强制关闭或退出后,不能继续占用系统资源; | |
| 功能使用 | ||
| - | 1.应用在用户未授权情况下,不能执行拨打电话、发送短信等操作; | |
| - | 2.应用在用户未授权情况下,不能执行摄像、录音、截屏等操作; | |
| - | 3.应用在用户未授权情况下,不能打开或关闭如WiFi、蓝牙、GPS等; | |
| 数据操作 | ||
| - | 1.应用在用户未授权情况下,不能读写用户短信、联系人等隐私数据; | |
| - | 2.应用在用户未授权情况下,不能收集或上报用户设备、系统及应用程序信息; | |
| - | 3.应用在用户未授权情况下,不能修改系统配置等资源文件; | |
| - | 4.应用在用户未授权情况下,不能修改其他应用程序的权限、数据等; | |
| 行为规范 | ||
| - | 1.应用在用户未授权情况下,不能进行消费操作; | |
| - | 2.应用不能包含故意破坏用户使用体验、阻碍用户正常使用手机或应用的任何行为; | |
| - | 3.应用中不能包含任何侵犯用户知情权、选择权的恶意行为; | |
| - | 4.应用在用户未授权情况下,不能利用漏洞等方式获取系统控制权限,进行非授权操作; | |
| - | 5.如无必要的使用场景,应用不能在桌面、锁屏和其他应用上,弹出悬浮窗、自定义后台Toast、后台弹出Activity等骚扰用户的行为; | 1.应用锁屏通知开关处于关闭状态时,禁止在锁屏弹出任何信息。 2.仅允许导航、音乐、运动健康类应用的主功能,在锁屏上显示全屏覆盖界面;例如导航-路线导航、音乐-音乐播放、运动健康-记步轨迹。 3.在锁屏或其他应用界面上,仅允许聊天消息、短信息、闹钟等对推送有实时性要求的信息和弹出界面。 4.应用不能在未经用户主动设置或者用户主动发起时,弹出界面覆盖到桌面或其他应用之上。 |
| - | 6.如无必要的使用场景,应用不能发送无法删除的常驻通知; | 仅允许音乐、下载,在离开应用界面后,不能在通知栏显示常驻通知,导致用户无法清除。 |
| - | 7.应用不能弹出、显示影响用户体验的广告,如抬头、强制插屏、侧边等; | 1.禁止弹出任何广告界面覆盖在原有应用功能界面之上。 2.允许和原有界面功能平铺在一个界面的非弹出式广告(如微信朋友圈)。 |
| - | 8.应用不能引导用户开启开发者选项,禁止引导用户开启USB调试模式; | 开发者选项和USB调试功能属于开发者调试设备的选项,禁止应用引导用户开启。 |
| 其他标准 | ||
| - | 1.应用不能包含病毒、木马; | |
| - | 2.应用不能包含漏洞、后门; | |
| - | 3.应用不能包含国家法律禁止的内容,包括但不限于色情,赌博,或任何危害国家安全的信息; | |
| - | 4.应用不能包含其他任何形式损害用户利益及资产的行为; | |
| - | 5.应用不能通过热补丁,引入恶意行为和不符合本标准的行为; |
3.2 开发安全标准
- 3.2.1 Manifest和权限使用安全规范
注:权限的申请和使用应满足最小化原则。
| 问题描述 | 合格用例 | 详细说明 |
|---|---|---|
| 1.权限管理 | ||
| - | 1)不申请不需要使用的权限,为自定义权限设置合理的安全保护级别; | 申请权限满足最小化原则,申请权限申请的权限全部为应用功能所需,不申请多余的权限;应用自定义权限,自行根据数据和行为的安全敏感度,设置合理的安全保护级别。 |
| - | 2)应用申请的权限,都必须有明确、合理的功能和使用场景; | 使用权限满足最小化原则,只有使用应用的某个功能,而对应到的某个权限为该功能和合理要求时,才允许使用相应权限。比如某聊天软件,必须在进行视频聊天、拍照等功能需要的场景下,才允许使用摄像头,而在其附属的新闻浏览功能中,不允许使用摄像头。 |
| - | 3)TargetSdkVersion>=23,必须适配Android M及以后版本的动态权限机制。 | 必须适配Android M及以后版本的动态权限机制,并且强烈建议适配到Android O(TargetSdkVersion>=26)。 |
| - | 4)对于非核心权限,应用不能在权限动态弹框授权提示被用户拒绝后,强制要求用户开启,包括但不限于:a.应用退出;b.弹框提醒用户打开>=2次; | |
| 2.功能项管理 | 关闭不需要及有风险的功能选项,如数据备份功能、调试功能; | |
| 3.组件管理 | 组件声明的合理性,避免导出不需要外部调用的组件,如需导出应设置合理的权限保护; |
- 3.2.2 应用编码安全规范
| 问题描述 | 合格用例 |
|---|---|
| 1.基础编码安全规范 | 1) 保证开发环境的安全性,如使用官方渠道下载的开发工具; 2) 避免硬编码关键数据,如加密密钥、后端服务器敏感信息等; 3) 应用代码净化,代码逻辑优化、剔除应用中的死代码块; 4) 统一的日志管理接口,避免在日志中记录敏感信息; 5) 应用发布之前,关闭调试接口和调试日志。 |
| 2.系统API使用安全规范 | 1) 使用官方推荐版本的API接口,不使用系统废弃的API 2) 熟悉并遵从安全规范,避免遗漏安全限制操作,引入安全风险; 3) 对关键操作身份校验和权限检查; |
| 3.第三方代码使用安全规范 | 1) 代码评估。来源可靠性评估、代码质量评估、潜在安全风险评估; 2) 权限控制。确认引入代码所需使用的权限最小化; 3) 更新维护。关注代码的安全动态和版本更新情况,及时修复安全问题,更新代码; 4) 安全保护。对引入的代码进行混淆,防止攻击者针对性的攻击; |
| 4.代码保护安全规范 | 1) 代码混淆。提高攻击者代码分析难度; 2) 加固保护。使用自研或者第三方加固系统进行应用加固,进行代码隐藏和加密保护; |
- 3.2.3 数据安全规范
| 问题描述 | 合格用例 |
|---|---|
| 1.数据加密安全规范 | 1) 数据密文和加密密钥应存放在不同的位置; 2) 密钥存储模块应具备防调试及反编译的能力; 3) 密钥数据应分散存储,为获取密钥密文增大难度 |
| 2.数据存储安全规范 | 1) 应用程序关键数据应该存放在私有目录下,并设置合理的访问权限; 2) 应用程序中的隐私数据应加密存储。用于加密的密钥应妥善保存; 3) 禁止程序运行日志中包含有用户敏感数据、程序调试数据等; |
| 3.数据使用安全规范 | 1) 数据合法性保护。控制用户输入数据的类型、长度,进行恶意代码过滤等; 2) 数据完整和有效性保护。对于接收到的外部数据、加载的外部文件,进行完整、有效性性检查; |
- 3.2.4 通信安全
| 问题描述 | 合格用例 |
|---|---|
| 1.本地通信安全 | 1) intent数据安全。避免在intent包含用户敏感数据,从intent中获取数据时加入必要的异常处理; 2) intent scheme url 协议安全。使用过程中加入安全限制,防止UXSS等安全问题; 3) 组件调用方式安全。避免通过隐式方式进行调用组件,防止组件劫持; 4) 本地socket通信安全。避免是使用socket方式进行本地通信,如需使用,localhost端口号随机生成,并对端口连接对象进行身份认证和鉴权; |
| 2.远程通信安全 | 1) 使用https代替http进行通信,并对https证书进行严格校验; 2) 避免进行远程端口开发通信,如需使用,需要对端口连接对象进行身份认证和鉴权; |
- 3.2.5 业务安全
| 问题描述 | 合格用例 |
|---|---|
| 1.认证和授权 | 1) 认证和授权过程应在服务器端完成,避免客户端绕过问题; 2) 对于涉及敏感信息的服务,每次使用前需进行身份认证; 3) 控制登录凭证token有效期,通信过程中进行token鉴权; 4) 避免在终端设备上使用不安全的方法来存储用户名、口令及其它登录凭证; 5) 用户密码需要使用强不可逆的加密算法加密后传输,并引入salt,提高破解难度; 6) 账户号和终端设备信息进行绑定,防止终端模拟攻击; |
| 2.业务逻辑及数据安全 | 1) 条件判断。确保逻辑过程中前置判断条件的有效性、不可绕 过性,防止攻击者进行数据修改绕过安全限制; 2) 逻辑设计。确保业务逻辑设计、分支条件及边界条件处理的正确性和完备性,防止不可控执行流程; 3) 工作分配。确保服务端和客户端分工正确,防止一些应该放在服务端的校验工作设置在了客户端,造成权限校验绕过; 4) 业务数据。关键业务数据防篡改、防伪造、防重放; 5) 短信验证码安全。禁止验证码回传行为,验证码至少6位,同时严格限定验证码时效; |
| 3.业务运维安全 | 1) 业务风险监控、预警、异常处理预案; 2) 安全动态跟踪及预警、安全事件排查、漏洞修复; |
- 3.2.6 运行环境安全
| 问题描述 | 合格用例 |
|---|---|
| 运行环境安全 | 1) 运行期重打包检测; 2) 模拟器运行环境检测; 3) 调试、注入操作监控; 4) root环境运行检测; |
- 3.2.7 隐私安全
| 问题描述 | 合格用例 |
|---|---|
| 隐私安全 | 1) 涉及到应用下载软件、对用户系统或软件升级等修改用户个人空间的行为,须得到用户的同意 2) 收集或使用个人数据前,须明确提示用户,并获得用户的明示同意,并且允许用户随时关闭对个人数据的收集和使用 3) 默认禁止收集数据主体的敏感个人数据,除非业务必需(如:运动健康类业务)或为了满足法律与监管机构要求可收集和处理(含profiling),并且同意应该单独收集 4) 应提供对用户的同意和撤销同意行为进行记录的机制 5) 隐私声明内容发生变化时,须告知用户查看并获得用户同意 6) 个人数据收集范围、使用目的不得超出隐私声明,且遵循最小化原则,当个人数据的采集范围、使用目的发生变更时,应及时更新隐私声明 7) 于存储个人数据的系统,需对存储的个人数据定义存留期 8) 数据主体撤销同意之后,产品必须禁止继续收集和处理其相应个人数据 9) 将数据主体个人数据提供给第三方前,必须获得数据主体的同意 10) 推送的内容(含广告)必须是符合政治、法律和宗教要求,并且推送频度不能干扰用户正常使用 11) 第三方应用软件调用移动智能终端敏感功能时,应先获得用户明确同意 12) 第三方应用软件对用户数据操作时,应先获得用户明确同意 13) 应用软件不得申请和调用与提供服务无关的终端功能 |
(4)功耗标准
| 问题描述 | 判定标准 | 合格用例 | 特殊考虑事项 |
|---|---|---|---|
| 后台处理器占用 | 测量应用在后台时对处理器的占用及Wake Lock设置情况 | 1. 平均每小时占用处理器累计时间不超过90秒,即处理器平均占用率不超过2.5% 2. 禁止应用设置WakeLock |
以下场景除外: 1. 后台播放视频、音乐或观看直播时 2. 后台导航时 3. 后台下载视频、音乐或离线地图时 4. 后台进行收发消息、游戏挂机时 5. 后台欺诈拦截、网络安全扫描、流量监控、定时提醒时 |
| 后台屏幕占用 | 测量应用在后台时对屏幕的占用 | 1. 不允许一切后台应用阻止屏幕自动变暗或关闭 2. 不允许应用在屏幕变暗或关闭时点亮屏幕 |
以下场景除外:后台收发消息、定时提醒时 |
| 后台无线网络占用 | 测量应用在后台时对无线网络的占用 (无线网络包括:Wi-Fi、数据连接、蓝牙及红外等无线信号网络。) |
1. 平均每小时使用无线网络传输数据时间不超过5分钟 2. 平均每小时对无线网络的扫描不超过60次 |
以下场景除外: 1. 后台播放在线视频、音乐或观看直播时 2. 后台导航时 3. 后台下载视频、音乐或离线地图时 4. 后台进行收发消息时 5. 后台欺诈拦截、网络安全扫描或流量监控时 |
| 后台音频设备占用 | 测量应用在后台时对音频设备的占用 | 禁止此情况下应用使用麦克风或扬声器 | 以下场景除外: 1. 后台播放在线视频、音乐或观看直播时 2. 后台导航时 3. 后台定时提醒时 |
| 后台摄像头占用 | 测量应用在后台时对摄像头的占用 (摄像头包含:前置摄像头、后置摄像头、红外摄像头及闪光灯) |
禁止此情况下应用使用摄像头或闪光灯 | |
| 后台定位传感器占用 | 测量应用在后台时对定位传感器的占用 | 禁止此情况下应用使用定位传感器 | 以下场景除外: 1. 后台导航时2. 后台轨迹追踪时 3. 后台下载离线地图时 |
| 后台动作传感器占用 | 测量应用在后台时对动作传感器的占用 | 禁止此情况下应用使用动作传感器 | 以下场景除外: 1. 后台导航时 2. 后台记步时 |
| 后台Alarm占用 | 测量应用在后台时对Alarm的占用 | 平均每小时通过Alarm调起的次数不超过20次 | 以下场景除外: 1. 后台播放视频时 2. 后台收发消息时 |
(5)性能标准
5.1 适用范围
| 应用类型 | 核心场景 |
|---|---|
| 便捷生活类 | 进入应用主功能界面 |
| 出行导航类 | 进入位置搜索页面 |
| 购物比价类 | 进入购物首页,页面含商品列表、搜索栏等。 |
| 拍摄美化 | 进入应用主功能界面 |
| 社交通讯类 | 登陆后进入主界面收/发消息 或:登陆后进入主界面 |
| 实用工具 | 邮箱类:启动应用 - 登陆邮箱 - 收取邮件(邮箱内已有邮件列表超过10封) |
| 新闻阅读类 | 启动应用 - 进入首页 - 刷新新闻列表 -滑动新闻列表 |
| 学习办公 | 进入应用主功能界面 |
| 影音娱乐 | 进入应用主功能界面 |
| 游戏 | 进入应用主功能界面 |
5.2 性能测试标准
| 问题描述 | 判定标准 | 合格用例 |
|---|---|---|
| 冷启动时间 | 点击图标到应用完全启动的时间。 | 冷启动时间应 ≤ 1000毫秒 |
| 热启动时间 | 应用之前被打开过,无关闭应用行为,从后台重新切换到前台的时间。 | 热启动时间应 ≤ 500毫秒 |
| 界面帧率 | 应用界面滑动时的帧率。 | 1.普通应用的帧率应 ≥ 55fps 2. 游戏类、地图类和视频类的帧率应 ≥ 25fps |
| 过度绘制 | 应用界面的绘制情况,不允许存在4x过度绘制及超过屏幕1/3区域的3x过度绘制。 | 1.不允许存在4x过度绘制(红色区域); 2.不允许存在面积超过屏幕1/3区域的3x过度绘制(淡红色区域) |
| Stricmode | 通过开发者选项“strict mode”设置,检查所有界面操作 | 各类应用的所有界面操作不允许有红框闪烁 |
| 内存泄露 | 应用的内存泄漏。 | 应用禁止存在Activity级别的内存泄露。 |
| 前台内存占用 | 应用在前台使用过程中的内存占用情况。(被测应用完全启动30秒后,开始测量内存消耗) | 各类应用在前台的内存占用应 ≤ 500MB |
| 后台亮屏内存占用 | 测量应用在后台且亮屏一段时间时的内存占用。(被测应用切换到后台5分钟后亮屏状态下测量内存消耗) | 各类应用在后台且亮屏5分钟的内存占用应 ≤ 400MB |
| 后台灭屏内存占用 | 测量应用在后台且灭屏一段时间时的内存占用。(被测应用切换到后台,灭屏1分钟后测量内存消耗) | 各类应用在后台且灭屏1分钟的内存占用应 ≤ 400MB |
| 后台亮屏CPU占用 | 应用在后台且亮屏一段时间时的CPU占用。(被测应用切换到后台,等待5分钟稳定后,检测被测应用5分钟内CPU usertime+systemTime) | 各类应用在后台且亮屏5分钟的CPU占用应 ≤ 2% |
| 后台灭屏CPU占用 | 测量应用在后台且灭屏一段时间时的CPU占用。(被测应用切换到后台,灭屏后等待5分钟稳定,检测被测应用5分钟内cpu usertime+systemTime) | 各类应用在后台且灭屏5分钟的CPU占用应 ≤ 2% |
本文参考资料:
