| 首页  |  资讯  |  评测  |  活动  |  学院  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 活动> 活动动态>

OPPO技术开放日第六期丨解析“应用与数据安全防护”背后的技术

2020-12-01 15:01 作者:佚名 来源:硅谷网综合 关注: 编辑:GuiGu 【搜索试试

11月29日,OPPO技术开放日第六期在成都1906创意工厂-A11举行。本期活动以"应用与数据安全防护"为主题,聚焦密钥、恶意行为检测等移动应用背后的安全技术,分享OPPO在安全领域的最新技术成果与行业解决方案,推动安全生态的建设。

 

OPPO云密码本背后的安全技术:端云协同的安全密钥技术

前不久的2020 OPPO开发者大会,OPPO正式发布ColorOS 11。全新的ColorOS 11系统搭载OPPO端云协同的安全密钥技术。OPPO基于端云协同安全密钥技术为支撑,实现了用户密码的安全托管和安全同步。

OPPO端云协同的安全密钥技术以安全的跨平台自动同步、应用间互相隔离的独立密钥体系、OPPO无法解密和攻击者无法窥探为目标,构建安全的密钥管理方案,进而实现保护用户数据的目的。

 

我们来看看密钥的攻击入口有哪些。从密钥的生成、分发、使用、撤销、销毁、归档、备份、更新、存储的完整生命周期中可能遇到的攻击分析入手,最可能遭受攻击的是生成、传输、使用、存储阶段。OPPO端云协同的安全密钥技术,在设计上重点考虑在以上敏感阶段如何缓解可能遇到本地暴力破解、云端暴力破解、侧信道分析和中间人攻击、端侧渗透攻击、云端渗透攻击等常见类型攻击。

在端云协同的安全密钥技术使用的安全工具方面,主要通过硬件安全环境(SE、TEE、HSM集群)保障密钥的生成、使用安全,同时使用HTTPS、SRP、 E2E安全信道保障传输交互的安全性,并使用账号密码、安全密码、短信安全码、可信设备证书等诸多因子保证身份认证的安全性。

OPPO端云协同的安全密钥技术具备非常广泛的应用场景,例如对地图收藏、历史轨迹、个人浏览记录、浏览标签同步、屏幕使用时间等行为特征类数据的保护,以及对Wi-Fi密钥、蓝牙密钥、loT设备配对密钥等密钥类数据的保护。未来,OPPO端云协同的安全密钥技术会应用到更多的场景,为用户数据隐私保驾护航。

OPPO通过AES密钥白盒解决密钥安全问题

现如今,数据及信息安全已逐渐演变为密钥安全。如果密钥不安全,加密便形同虚设。目前,业内密钥安全需求主要包括核心技术保护、终端数据安全、防止密钥窃取和数据传输安全四个层面,AES密钥白盒的出现在一定程度上解决了密钥的安全问题。

白盒将密钥扩展并融入到了加密运算中,使得密钥在整个加密过程中不再明文出现,从而达到隐藏和保护的目的。白盒的实现方式主要有三种,分别是查找表技术、插入扰乱项和多变量密码。即使有了白盒的保护,密钥也并不绝对安全,白盒也面临着多种多样的攻击。

 

AES密钥白盒受到的攻击方式主要包括两种,一种是BGE攻击,另外一种就是DFA攻击。OPPO安全针对以上攻击方式,提供了扩展T-Box、随机置换、迭代混淆等多种防护方案,在性能保证的基础上更进一步保障密钥的安全。

除了AES算法之外,OPPO安全还深度研究了国密SM4、ECC、RSA等算法,在更多的安全技术探索和算法研究的基础上,为开发者和应用平台提供更优质的解决方案,携手保护用户隐私。

检测移动恶意应用与提升恶意行为检测能力

随着移动恶意应用的恶意行为和攻击方式愈加复杂,加固保护愈来愈多样化。当前,恶意行为的静态代码分析面临着程序化难度大、人力投入大、成本变高等难点,OPPO为应对以上难点并弥补静态检测的缺点,引入了动态检测的方法,从而更精准高效地检测出存在恶意行为的应用。

动态分析检测方法是对应用行为进行判断和检测。基于恶意行为的动态分析检测方法,应用很多时候都需要调用系统的API来执行各种功能。动态分析检测可以通过审查应用对系统API的调用序列和各API的调用参数以及API调用的背景环境,用明确的逻辑判断该应用是否有执行恶意行为。这样能够帮助开发者和应用平台对恶意扣费、恶意传播、资费消耗、间谍监控、隐私窃取等行为进行有效的检测,将恶意行为暴露,保护用户的隐私安全和财产安全。

 

在新型恶意攻击方式不断涌现、恶意软件自身行为持续演化、恶意软件对抗行为日益普遍的背景下,自然语言处理、深度学习等智能化方法与程序分析技术不断发展并融合,激发出了多种基于智能化技术的恶意行为检测新思路。这些新技术的应用显著提升了恶意行为的检测能力,为移动生态的安全带来了更多的保障。

 

例如,面对新型攻击不断涌现,WebView新型恶意行为检测技术能够对App-to-Web攻击进行建模,并通过自动化检测工具发现多款新型恶意软件;面对恶意软件不断演化,通过对API语义的构建和利用,可以增强现有检测模型的可持续检测能力;面对对抗行为不断加剧,通过对轻量级敏感行为进行监控,可以对恶意行为进行高效检测。

OPPO在SDK安全质量保障方面的实践方案和移动应用安全实践

随着移动互联网的高速发展,移动应用中引入第三方SDK的数量剧增,而三方SDK往往会成为移动应用整体的安全短板。OPPO基于三方SDK安全检测的工作实践结合SDL实施的经验总结,落地了一套移动三方SDK安全质量保障实践方案。

针对三方SDK主要包括隐私合规检测、漏洞检测和恶意行为检测三个重点检测内容,OPPO采用静态污点分析技术, 将敏感数据标记为污点(Source点),然后通过跟踪和污点数据相关的信息的流向, 检测在关键的程序点(Sink点)是否会影响某些关键的程序操作,从而识别程序是否存在安全风险。

 

在技术维度,OPPO制定了"安全检测项-反射调用检测-黑名单库-安全检测报告"的三方SDK检测流程。

在安全流程的维度,OPPO基于三方SDK安全检测的工作实践结合SDL实施的经验总结,制定了"安全评审-黑名单匹配-安全扫描-人工审计"的三方SDK安全质量保障流程,保障OPPO终端安全应用的安全。

而面向移动应用安全,OPPO与参会的安全从业者交流了Android平台上的应用安全问题、安全技术发展以及OPPO在移动应用安全领域的行动和积累。

OPPO规划了三层次的移动应用安全平台整体架构。第一层是终端安全能力,包括安全加固和安全SDK;第二层是云端安全测评,包括文件扫描、广告检测、仿冒检测、漏洞扫描等等;第三层是行业安全解决方案,比如广告反作弊、广告反切量等等。

剖析安全风险、聚焦业务场景,OPPO为开发者和用户提供便捷、稳定、有效、全面的业务安全防护与用户隐私保护能力,并为此制定了清晰的规划:基础安全能力建设、用户隐私保护落地、移动端风控基础能力补齐、行业安全解决方案。

 

通过本期OPPO技术开放日,OPPO安全团队为到场的安全领域从业者和高校学生,详细解读了应用与数据安全防护,以及OPPO安全技术建设和相关成果。OPPO安全热切期待更多安全专家能够加入,一同为保护用户数据安全而努力,推动安全生态的建设。

关注OPPO开放平台微信公众号(OPPO-dev)、安全应急响应中心微信公众号(opposrc),了解更多OPPO技术信息和安全生态建设最新动向。

【对“OPPO技术开放日第六期丨解析“应用与数据安全防护”背后的技术”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
头条
“新崛起时代”将至:这一次,我们站在了变革的正中心 “新崛起时代”将至:这一次,我们站在了变革
2020年,我们经历了百年未有之大变局,逆全球化阴云挥之不散,疫情黑天鹅雪上加霜,二……
·2020亚太新经济大会圆满落幕 知识盛宴干货满
·“新崛起时代”将至:这一次,我们站在了变革
·雷军:技术为本,2021年小米扩招5000名工程师
·主打生活的科技 小米2020MIDC开发者大会即将
·潮向·2020新榜直播电商大会邀您共握浪潮之向
图文
OPPO技术开放日第六期丨解析“应用与数据安全防护”背后的技术
OPPO技术开放日第六期丨解析“应用与数据安
数字赋能 聚势创新 2020数字临沂创新发展大会成功举办
数字赋能 聚势创新 2020数字临沂创新发展大
2019年淘宝造物节时间地点:2019年淘宝造物节看点
2019年淘宝造物节时间地点:2019年淘宝造物
WRCF2019世界机器人大赛总决赛在河北保定开赛
WRCF2019世界机器人大赛总决赛在河北保定开
热点
·2019年淘宝造物节时间地点:2019年淘宝造物节
·MCS 2019中国医疗器械CIO峰会 8月在上海启幕
·ACS 2019第三届中国汽车CIO峰会近日正式启动
·2018今日头条生机大会落幕 生态升级创作者迎
·PCS 2019第二届中国医药CIO峰会启动 6大亮点
旧闻
·GMGC北京2017感恩回馈 合作媒体门票免费开抢
·2016·第二十届中国遥感大会将于8月在深圳举
·蓝汛ChinaCache出席亚太OTT峰会 助力产业发展
·数智驱动全局变革 2020SaaS应用大会华南站圆
·联研院多款科研成果亮相第二十一届科博会
广告
硅谷精选
OPPO技术开放日第六期丨解析“应用与数据安全防护”背后的技术
OPPO技术开放日第六期丨解析“应用与数据安全防护”背
数字赋能 聚势创新 2020数字临沂创新发展大会成功举办
数字赋能 聚势创新 2020数字临沂创新发展大会成功举办
“第五届小米数据挖掘大赛”在小米科技园圆满落幕
“第五届小米数据挖掘大赛”在小米科技园圆满落幕
云表平台荣膺世界智能制造大会大赛一等奖,企业数字化转型添利器
云表平台荣膺世界智能制造大会大赛一等奖,企业数字化
新华三集团亮相2020GOPS大会 获AIOps领域极具影响力服务商奖
新华三集团亮相2020GOPS大会 获AIOps领域极具影响力服
中国信通院联合主办的第四届工业大数据创新竞赛圆满落幕
中国信通院联合主办的第四届工业大数据创新竞赛圆满落
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>