Day 03. 如何申請行動應用基本資安檢測，並取得證書

如何取得合格證書及認證標章

送檢測之App經由「行動應用App基本資安檢測實驗室」（以下檢測實驗室）依據「行動應用App基本資安檢測基準」進行檢測作業，並通過安全等級所須項目，取得檢測報告後，由檢測實驗室代為申請「行動應用App基本資安檢測合格證明」（以下簡稱合格證書），以及「行動應用App基本資安標章」 （Mobile Application Basic Security，以下簡稱MAS標章）。

補充：找好實驗室後，通常提供一份調查表，調查表需要填寫關於 App資料，包含 APP Store / Google Play連結，哪種行動應用程式分類L1-L3 ，使用什麼函式庫等內容讓實驗室更快了解 App 內容跟如何檢測你的app

去哪找資安檢測實驗室?

資安聯盟截今(2020/09)為止所認可「行動應用App基本資安檢測實驗室」
資料來源：資安聯盟/實驗室認證通過名錄

檢測時發生的(趣事)?

找到配合的實驗室後，就是開始進行一系列的檢測，在拿到證書前，實驗室就是不斷寄給你 App 檢測不合格的報告 XD

趣事一

依照不符合規定的報告結果，進行調整修改，反覆修正
開發者就會產生實驗室就是在故意刁難你 ㄇㄉㄈㄎ的心態

趣事二

由於App 有做混淆跟加殼處理(註)，有些實驗室因為無法分析/或想簡易分析就希望我們提供未加殼的 App

但我這邊會爭取實驗室應該是用我們 加殼後的App 來做檢測，畢竟加殼保護也是我們的防護措施的處理

提供加殼版本，有時又列我們Debug模式下可以.... ，這時我都會回，那你應該在我加殼的環境中看你能不能Hook

註：加殼處理，是為了防止逆向，保護程式碼跟資源，這端末之間多了一層保護。讓命令無法直接連接必須經過認證的加解密

趣事三

由於APP 有 憑證綁定 Certificate Pinning (註) 實驗室無法攔截傳輸資料，希望提供沒有憑證綁定App 讓他們驗證說這樣才不用再破憑證綁定

註：憑證綁定 Certificate Pinning ：在網路連線驗證Server公鑰是否批配，預防從連線中窺視傳送及接收的資料

趣事四

同一App 版本，兩間不同實驗室產出的報告，有些許落差。

A實驗室認為沒問題， B實驗室認為有項目不符規定，雙方互相友善切磋討論(？)

取得證書後...（9/19補充）

當已經取得證書後，送檢測單位可以拿到證書外，還可以在 行動資安聯盟/App認證/App檢測通過名錄 查尋目前證書有效 的APP

之前可以查詢全部的資料，現在只能查詢到有效期間內的 APP 資訊

還有更詳細內容

使用者也可以查詢這個App 是否通過資安檢測的認證，或者沒有在去認證了

Note : 證書有效期間是一年

小結

這章節讓有需要申請資安檢測需求的人，了解整個資安檢測及證書取得的流程，並知曉如何尋找適合實驗室 看誰報價最便宜，

小咩因緣際會所以接觸蠻多外稽單位跟實驗室，因此才會有這麼多 命苦 有趣的際遇

後面章節我們在來談談技術要求及實驗室的檢測基準
這塊原先打算只挑重點介紹，因為有些檢查項目就是些規範條例，覺得沒這麼有趣
但某資安大大建議我說：『這些項目對我們來說簡單，是因為我們很熟悉，但我覺得還逐條解釋，才能完整並有系統介紹』

真心覺得大大說的很對，所以後面我們就逐條來介紹檢驗基準