以“开放互融 致善创新”为主题的2021 OPPO开发者大会(ODC21),于10月27日在上海世博中心举办。作为必不可少的安全与隐私专场,OPPO安全团队聚焦当下安全隐私问题,分享了行业与用户洞察、自身安全防护体系构建以及开发者服务赋能等方面的最新实践成果,并积极呼吁开发者和行业共建绿色、共赢的安全生态,为用户迈入全新数智生活保驾护航。
构建坚实安全防护体系
用户安全,全情守护
随着移动互联网的高速发展,智能手机普及带来的移动应用井喷已成既定事实,随之而来的,是其处理的用户数据在量级和敏感性上显著提升,如何保护用户信息安全,给各类应用带来了更大的挑战。
作为一家软硬服一体的生态型科技公司,保护用户个人信息安全是OPPO的基本理念,也是产业发展的基础支撑。针对当下行业现状,OPPO数据与隐私安全负责人刘桃松分享了OPPO在长期推动移动应用安全、合规发展中所做的工作:基于自身业务特征,建立一套移动应用(APP)安全治理体系,以此作为保障用户安全与隐私的重要坚实基础。
OPPO安全从组织建设、流程制度、技术工具三个维度出发,打造个人信息保护技术,搭建安全管理体系框架。同时,针对端外的个人信息保护,OPPO安全以六层防御系统为基础,构建可靠、可信、智能化的数据安全防御体系。
打造APP安全隐私特性
为了解决用户的手机APP隐私痛点,保护消费者隐私安全,OPPO携手益普索展开联合调研,并于会上发布了《2021年-中国智能手机用户安全需求洞察报告》(以下简称《洞察报告》)。《洞察报告》调查发现在敏感数据、敏感权限的保护和管理等方面,用户都有着极高的关注度和在意程度。
基于行业乱象与用户痛点,OPPO结合自身手机生态,在持续打造安全、可信的APP安全隐私特性上不遗余力。OPPO针对用户关注的敏感数据与敏感权限,提出了自己的针对性解决方案。
首先,针对敏感数据,ColorOS系统专门为用户提供私密保险箱和应用锁功能,私密保险箱保存手机本地私密文件。OPPO云服务对于敏感数据采取双层加密传输,采用硬件加密机、密钥管理服务和用户数据高等级加密的三层加密存储等,为用户云端数据安全保驾护航;其次,针对敏感权限,OPPO手机内置敏感权限提醒与敏感行为记录功能,通过敏感行为记录功能,用户可以通过数据可视化图标,及时、直观地查看应用权限的调用记录。
OPPO安全隐私官网目前还上线了诸如隐私替身、系统分身等众多功能,分类解决用户隐私安全问题。守护用户隐私安全是一个长期过程,OPPO安全也将持续优化APP安全隐私特性,为用户提供可信赖的、安全的产品。
打造“智能护盾”,开放三大安全能力
保驾护航,赋能开发
目前,围绕APP安全隐私治理,OPPO安全已累积下架上千款涉及广告作弊的APP,软件商店每年的APP上架审核超过100万次,拦截风险APP约35万次,下架恶意APP约3000款;浏览器每天拦截恶意网址约7000万次,拦截恶意APP下载约300万次。这些成果的背后,体现了OPPO内部对应用安全隐私治理体系的持续打磨与坚守。
智能护盾守护绿色生态
作为应用开发商,OPPO拥有数量庞大、面向全球的自研APP,既要确保自身APP安全隐私合规,也要防止外部的恶意攻击。
作为手机厂商和应用分发平台,OPPO生态内拥有海量的三方APP,管理安全隐私问题责无旁贷,也有义务为广大开发者提供一个公平、安全、健康的应用服务生态环境。
因此,OPPO基础安全与隐私负责人罗元海为开发者分享了端云协同、多产品联动的全方位应用安全隐私治理体系——智能护盾。基于大数据和AI的安全大脑,实现从测试、上架到卸载、下架的全链路安全隐私防护,打通软件商店、浏览器、手机管家等产品的安全防护能力,覆盖用户所有APP使用场景,为用户构建一套纵深有效的防御体系。既保障自研APP的安全隐私合规,也为开发者提供公平、绿色、可持续的APP生态环境。
三大安全隐私能力首次开放
除了自身内部安全体系内的建设之外,OPPO安全也积极探索生态建设,与开发者携手合作,共建绿色、安全、可持续的应用开发生态。
此次会场上,OPPO安全运营负责人彭星分享道将为所有开发者开放安全隐私云查服务、安全检测SKD和安全加固三大安全隐私管理能力,通过开放服务全面赋能开发者。
隐私云查服务 包括自动化检测与真机动态检测,覆盖APK上架审核过程中的安全隐私检测和广告欺诈检测,能有效降低APK因安全隐私问题无法通过审核的概率,帮助开发者节省上架审核时间,开发者只需要将检测的APK上传至OPPO云查服务,即可进行实时在线检查。
安全检测SDK 基于OPPO系统底层能力与云端安全大脑的分析能力,结合恶意URL检测、应用安全检测、终端环境安全检测、日志防泄漏四大行为,保护开发者应用免遭包括设备篡改在内的各种安全威胁,为开发者提供安全、高效的检测服务。
安全加固能力 通过纵深防护、实时保护、核心代码加固等行为,强化安全防护能力,支持APK、Jar、SO等文件格式加固保护。
《移动应用(APP)个人信息保护白皮书》发布
安全生态,行业共建
在多方的共同努力之下,用户隐私安全已日益得到重视,而与此同时,对于移动应用(APP)产业隐私安全问题的具体审视与系统化、针对化解决方案仍需行业共同努力。为此,OPPO深入了解当下用户的个人信息保护现状与发展趋势,联合德勤中国风险咨询发布了《移动应用(APP)个人信息保护白皮书》(以下简称:《白皮书》)。
《白皮书》对移动应用(APP)产业现状进行了更为系统化的剖析。《白皮书》核心指出,移动应用(APP)对个人信息的违规收集和滥用是当前的主要问题,而治理SDK违规收集、处理个人信息的产业乱象仍是行业难点。技术发展带来数据使用上的丰富与便利,而由此产生的安全隐私等问题,也是当下行业中的所有关联方同时面临和需要解决的命题。
借由大会上《白皮书》的发布,OPPO与德勤共同呼吁企业和消费者都能积极参与到个人信息保护实践中,共建移动应用个人信息安全生态。
此外,OPPO安全参与了包括全国信息安全标准化技术委员会、ETSI等多个国内外安全标准组织及CSA、Ioxt、ITGSA等行业联盟”,并与国内多所知名院校展开了前沿安全技术研究课题合作,正如OPPO安珀实验室负责人陈勇提到:OPPO始终站在创新的前沿,以“致善式创新”为理念,努力构建物联网安全生态系统。
OPPO与微软一起构筑安全隐私工程体系,共建开放互融的开发者生态;并共同打造全球领先的产品安全隐私框架及研发安全可信工程化解决方案,赋能开发者适应并拥抱全球国际化环境挑战。
最后,关于未来“安全”发展走向,基于我们正处的数字化时代,会上微软首席架构师陈荣华认为未来的发展方向将是数字化的可信,具体来说将会是从工程走向产品和客户、从设计安全到零信任、从安全规范管控到自动化执行、从基础安全到数字化可信。
作为一家生态型科技公司,OPPO在重视自身产品与服务安全打造的同时,积极进行技术赋能。未来,OPPO安全团队将继续围绕用户安全隐私保护,为用户提供安全、可信、合规的应用产品,为开发者共筑健康、良性的安全生态,在行业共建的道路上持续探索。
|
|
