第三媒體軟件中心軟件網絡資訊互聯網資訊 → OPPO技術開放日 OPPO解析"應用與數據安全防護"的技術 TTL

OPPO技術開放日 OPPO解析"應用與數據安全防護"的技術

上傳:yangha31     來源:信息存儲服務     日期:2020-12-02

[摘要]  
   OPPO技術開放日第六期在成都1906創意工廠-A11舉行。本期活動以"應用與數據安全防護"為主題,聚焦密鑰、惡意行為檢測等移動應用背后的安全技術,分享OPPO在安全領域的最新技術成果與行業解決方案,推動安全生態的建設
 
[正文]    

   11月29日,OPPO技術開放日第六期在成都1906創意工廠-A11舉行。本期活動以"應用與數據安全防護"為主題,聚焦密鑰、惡意行為檢測等移動應用背后的安全技術,分享OPPO在安全領域的最新技術成果與行業解決方案,推動安全生態的建設。

OPPO技術開放日 OPPO解析"應用與數據安全防護"的技術

OPPO云密碼本背后的安全技術:端云協同的安全密鑰技術

   前不久的2020 OPPO開發者大會,OPPO正式發布ColorOS 11。全新的ColorOS 11系統搭載OPPO端云協同的安全密鑰技術。OPPO基于端云協同安全密鑰技術為支撐,實現了用戶密碼的安全托管和安全同步。

   OPPO端云協同的安全密鑰技術以安全的跨平臺自動同步、應用間互相隔離的獨立密鑰體系、OPPO無法解密和攻擊者無法窺探為目標,構建安全的密鑰管理方案,進而實現保護用戶數據的目的。

OPPO技術開放日 OPPO解析"應用與數據安全防護"的技術

   我們來看看密鑰的攻擊入口有哪些。從密鑰的生成、分發、使用、撤銷、銷毀、歸檔、備份、更新、存儲的完整生命周期中可能遇到的攻擊分析入手,最可能遭受攻擊的是生成、傳輸、使用、存儲階段。OPPO端云協同的安全密鑰技術,在設計上重點考慮在以上敏感階段如何緩解可能遇到本地暴力破解、云端暴力破解、側信道分析和中間人攻擊、端側滲透攻擊、云端滲透攻擊等常見類型攻擊。

   在端云協同的安全密鑰技術使用的安全工具方面,主要通過硬件安全環境(SE、TEE、HSM集群)保障密鑰的生成、使用安全,同時使用HTTPS、SRP、 E2E安全信道保障傳輸交互的安全性,并使用賬號密碼、安全密碼、短信安全碼、可信設備證書等諸多因子保證身份認證的安全性。

   OPPO端云協同的安全密鑰技術具備非常廣泛的應用場景,例如對地圖收藏、歷史軌跡、個人瀏覽記錄、瀏覽標簽同步、屏幕使用時間等行為特征類數據的保護,以及對Wi-Fi密鑰、藍牙密鑰、loT設備配對密鑰等密鑰類數據的保護。未來,OPPO端云協同的安全密鑰技術會應用到更多的場景,為用戶數據隱私保駕護航。

OPPO通過AES密鑰白盒解決密鑰安全問題

   現如今,數據及信息安全已逐漸演變為密鑰安全。如果密鑰不安全,加密便形同虛設。目前,業內密鑰安全需求主要包括核心技術保護、終端數據安全、防止密鑰竊取和數據傳輸安全四個層面,AES密鑰白盒的出現在一定程度上解決了密鑰的安全問題。

   白盒將密鑰擴展并融入到了加密運算中,使得密鑰在整個加密過程中不再明文出現,從而達到隱藏和保護的目的。白盒的實現方式主要有三種,分別是查找表技術、插入擾亂項和多變量密碼。即使有了白盒的保護,密鑰也并不絕對安全,白盒也面臨著多種多樣的攻擊。

OPPO技術開放日 OPPO解析"應用與數據安全防護"的技術

   AES密鑰白盒受到的攻擊方式主要包括兩種,一種是BGE攻擊,另外一種就是DFA攻擊。OPPO安全針對以上攻擊方式,提供了擴展T-Box、隨機置換、迭代混淆等多種防護方案,在性能保證的基礎上更進一步保障密鑰的安全。

   除了AES算法之外,OPPO安全還深度研究了國密SM4、ECC、RSA等算法,在更多的安全技術探索和算法研究的基礎上,為開發者和應用平臺提供更優質的解決方案,攜手保護用戶隱私。

檢測移動惡意應用與提升惡意行為檢測能力

   隨著移動惡意應用的惡意行為和攻擊方式愈加復雜,加固保護愈來愈多樣化。當前,惡意行為的靜態代碼分析面臨著程序化難度大、人力投入大、成本變高等難點,OPPO為應對以上難點并彌補靜態檢測的缺點,引入了動態檢測的方法,從而更精準高效地檢測出存在惡意行為的應用。

   動態分析檢測方法是對應用行為進行判斷和檢測。基于惡意行為的動態分析檢測方法,應用很多時候都需要調用系統的API來執行各種功能。動態分析檢測可以通過審查應用對系統API的調用序列和各API的調用參數以及API調用的背景環境,用明確的邏輯判斷該應用是否有執行惡意行為。這樣能夠幫助開發者和應用平臺對惡意扣費、惡意傳播、資費消耗、間諜監控、隱私竊取等行為進行有效的檢測,將惡意行為暴露,保護用戶的隱私安全和財產安全。

OPPO技術開放日 OPPO解析"應用與數據安全防護"的技術

   在新型惡意攻擊方式不斷涌現、惡意軟件自身行為持續演化、惡意軟件對抗行為日益普遍的背景下,自然語言處理、深度學習等智能化方法與程序分析技術不斷發展并融合,激發出了多種基于智能化技術的惡意行為檢測新思路。這些新技術的應用顯著提升了惡意行為的檢測能力,為移動生態的安全帶來了更多的保障。

OPPO技術開放日 OPPO解析"應用與數據安全防護"的技術

   例如,面對新型攻擊不斷涌現,WebView新型惡意行為檢測技術能夠對App-to-Web攻擊進行建模,并通過自動化檢測工具發現多款新型惡意軟件;面對惡意軟件不斷演化,通過對API語義的構建和利用,可以增強現有檢測模型的可持續檢測能力;面對對抗行為不斷加劇,通過對輕量級敏感行為進行監控,可以對惡意行為進行高效檢測。

OPPO在SDK安全質量保障方面的實踐方案和移動應用安全實踐

   隨著移動互聯網的高速發展,移動應用中引入第三方SDK的數量劇增,而三方SDK往往會成為移動應用整體的安全短板。OPPO基于三方SDK安全檢測的工作實踐結合SDL實施的經驗總結,落地了一套移動三方SDK安全質量保障實踐方案。

   針對三方SDK主要包括隱私合規檢測、漏洞檢測和惡意行為檢測三個重點檢測內容,OPPO采用靜態污點分析技術, 將敏感數據標記為污點(Source點),然后通過跟蹤和污點數據相關的信息的流向, 檢測在關鍵的程序點(Sink點)是否會影響某些關鍵的程序操作,從而識別程序是否存在安全風險。

OPPO技術開放日 OPPO解析"應用與數據安全防護"的技術

   在技術維度,OPPO制定了"安全檢測項-反射調用檢測-黑名單庫-安全檢測報告"的三方SDK檢測流程。

   在安全流程的維度,OPPO基于三方SDK安全檢測的工作實踐結合SDL實施的經驗總結,制定了"安全評審-黑名單匹配-安全掃描-人工審計"的三方SDK安全質量保障流程,保障OPPO終端安全應用的安全。

   而面向移動應用安全,OPPO與參會的安全從業者交流了Android平臺上的應用安全問題、安全技術發展以及OPPO在移動應用安全領域的行動和積累。

   OPPO規劃了三層次的移動應用安全平臺整體架構。第一層是終端安全能力,包括安全加固和安全SDK;第二層是云端安全測評,包括文件掃描、廣告檢測、仿冒檢測、漏洞掃描等等;第三層是行業安全解決方案,比如廣告反作弊、廣告反切量等等。

   剖析安全風險、聚焦業務場景,OPPO為開發者和用戶提供便捷、穩定、有效、全面的業務安全防護與用戶隱私保護能力,并為此制定了清晰的規劃:基礎安全能力建設、用戶隱私保護落地、移動端風控基礎能力補齊、行業安全解決方案。

OPPO技術開放日 OPPO解析"應用與數據安全防護"的技術


   通過本期OPPO技術開放日,OPPO安全團隊為到場的安全領域從業者和高校學生,詳細解讀了應用與數據安全防護,以及OPPO安全技術建設和相關成果。OPPO安全熱切期待更多安全專家能夠加入,一同為保護用戶數據安全而努力,推動安全生態的建設。

   關注OPPO開放平臺微信公眾號(OPPO-dev)、安全應急響應中心微信公眾號(opposrc),了解更多OPPO技術信息和安全生態建設最新動向。

   (新聞稿 2020-12-02)


頻道首頁 】【 評論 】 【 打印 】 【 字體:
   上一篇:家居產業數字化 三維家蔡志森聘為廣東工業互聯網專家
   下一篇:微軟官方商城雙12店慶開啟 教你這樣“剁手”更省錢
導航:報價 | 大全 | 排行榜 | 產品大全 | 參量 | 訂閱 
 Advertisement
 十大最受關注的新聞
1  大屏電視裝不上? 卡薩帝電視裝得上
2  競自己 戰無懼!ROG官宣代言人周冠宇
3  中興終端亮相2024巴塞展 Better for All全球愿景發布 多款新品推出
4  這個10秒倒計時,海爾智家走了30多年
5  兩會聚焦全球化發展,李東生強調中國制造出海必要性
6  華碩主板: 曬美圖贏豪禮 華碩主板高顏SHOW不停
7  《心靈殺手2》新版本上線 華碩重炮手主板帶你探索未知
8  金士頓全新推出Canvas React Plus V60 SD存儲卡
9  GPTBots:卡片&表單消息,提供更豐富的客服體驗
10  快人一步全速開工 金士頓高速閃存盤
 十大熱門驅動/軟件下載
1  [手機驅動]手機usb萬能
2  [熱門常用軟件]QQ2008正式版下載【騰訊QQ2008官方版Beta1】
3  [熱門常用軟件]E話通下載【E話通4.5 正式版】
4  [手機驅動]Samsung三星 手機USB驅動1.0版For Win98SE/ME/...
5  [手機驅動]Microsoft微軟 ActiveSync同步軟件4.5中文版Fo...
6  [攝像頭驅動]萬能攝像頭 FOR Windows
7  [熱門常用軟件]皮皮播放器下載【PPFilm皮皮播放器 2.1.0....
8  [手機驅動]諾基亞 PC套件下載
9  [熱門常用軟件]面對面游戲下載【面對面視頻游戲大廳】
10  [手機驅動]Microsoft微軟 Windows Mobile Device Center ...
 十大最受關注的品牌
1  三星手機(SAMSUNG)
2  諾基亞手機(NOKIA)
3  華碩筆記本(ASUS)
4  摩托羅拉手機(MOTOROLA)
5  英特爾CPU(Intel)
6  華碩主板(ASUS)
7  LG手機(LG)
8  索愛手機(Sony Ericsson)
9  聯想筆記本(lenovo)
10  宏碁筆記本(acer)
 十大熱門常用軟件下載
1  QQ2008正式版下載【騰訊QQ2008官方版Beta1】
2  E話通下載【E話通4.5 正式版】
3  皮皮播放器下載【PPFilm皮皮播放器 2.1.0.2版】
4  面對面游戲下載【面對面視頻游戲大廳】
5  DVD解碼器下載【NVIDIA DVD Decoder 1.02】
6  迅雷5下載【迅雷5.8.1.507官方版】
7  QQ2007 II正式版下載【騰訊QQ2007官方版本】
8  QQ2006正式版下載【騰訊QQ2006官方版本】
9  聯眾世界游戲大廳下載【聯眾世界2.7.0.8官方版】
10  MTV下載器【MTV下載精靈 8.31版】
11  pplive最新版下載【PPLive網絡電視V1.9.35版】
12  迅雷(Thunder)下載【迅雷v5.7.12.493官方版】
13  騰訊QQ2008下載【騰訊QQ官方版2008極速賀歲版KB1】
14  Total Video Converter下載【Total Video Converter v3.1...
15  QQ拼音輸入法下載【騰訊QQQQ拼音輸入法V1.4.1版】
16  皮皮高清影視播放器下載【PIPIPlayer 2.7.0.3版】
17  eMule下載【電驢eMule官方v0.49a正式版】
18  極點五筆輸入法下載【極點五筆6.1標準版】
19  QQ2009正式版下載【騰訊QQ2009 SP4官方版】
20  Vagaa哇嘎畫時代版下載【哇嘎 2.6.5.10】
   >> 查看評論   
 
   >> 查看更多評論   [共有0條評論]
發表評論
        
        
   點評:
   姓名:  
            字數: 0
     
新聞精選
·海爾智家創牌新成果:美國與日本均已第一
·AMIRO覓光王念歐:企業在切實保護消費者權益
·海爾智家:7分鐘全球掠影,30年創牌見證
·品質才是王道
·驍龍全新旗艦芯片來了,一大批安卓神機已經在
·人寵關系變了,“家”也變了 戴森寵物清潔配
  ·第三代驍龍8s平臺,“恰逢其時”的“新生代旗
·生成式AI時代下,這顆驍龍新生代旗艦芯片,有
·持續深耕海外!海爾菲律賓家電節活動促市場增
·云天勵飛收購智能穿戴公司岍丞技術,探索大模
·2024年政府工作報告再提“數據安全”,企業該
·愛企查年度宣傳片火熱上線,四大場景助您玩轉