​11月29日,OPPO技术开放日第六期在成都1906创意工厂-A11举行。本期活动以“应用与数据安全防护”为主题,聚焦密钥、恶意行为检测等移动应用背后的安全技术,分享OPPO在安全领域的最新技术成果与行业解决方案,推动安全生态的建设。

01
OPPO云密码本背后的秘密
端云协同的安全密钥技术

前不久的2020 OPPO开发者大会,OPPO正式发布ColorOS 11。全新的ColorOS 11系统搭载OPPO端云协同的安全密钥技术。OPPO基于端云协同安全密钥技术为支撑,实现了用户密码的安全托管和安全同步。

OPPO端云协同的安全密钥技术以安全的跨平台自动同步、应用间互相隔离的独立密钥体系、OPPO无法解密和攻击者无法窥探为目标,构建安全的密钥管理方案,进而实现保护用户数据的目的。

我们来看看密钥的攻击入口有哪些。从密钥的生成、分发、使用、撤销、销毁、归档、备份、更新、存储的完整生命周期中可能遇到的攻击分析入手,最可能遭受攻击的是生成、传输、使用、存储阶段。OPPO端云协同的安全密钥技术,在设计上重点考虑在以上敏感阶段如何缓解可能遇到本地暴力破解、云端暴力破解、侧信道分析和中间人攻击、端侧渗透攻击、云端渗透攻击等常见类型攻击。

在端云协同的安全密钥技术使用的安全工具方面,主要通过硬件安全环境(SE、TEE、HSM集群)保障密钥的生成、使用安全,同时使用HTTPS、SRP、 E2E安全信道保障传输交互的安全性,并使用账号密码、安全密码、短信安全码、可信设备证书等诸多因子保证身份认证的安全性。

OPPO端云协同的安全密钥技术具备非常广泛的应用场景,例如对地图收藏、历史轨迹、个人浏览记录、浏览标签同步、屏幕使用时间等行为特征类数据的保护,以及对Wi-Fi密钥、蓝牙密钥、loT设备配对密钥等密钥类数据的保护。未来,OPPO端云协同的安全密钥技术会应用到更多的场景,为用户数据隐私保驾护航。

02
OPPO通过AES密钥白盒

解决密钥安全问题

现如今,数据及信息安全已逐渐演变为密钥安全。如果密钥不安全,加密便形同虚设。目前,业内密钥安全需求主要包括核心技术保护、终端数据安全、防止密钥窃取和数据传输安全四个层面,AES密钥白盒的出现在一定程度上解决了密钥的安全问题。

白盒将密钥扩展并融入到了加密运算中,使得密钥在整个加密过程中不再明文出现,从而达到隐藏和保护的目的。白盒的实现方式主要有三种,分别是查找表技术、插入扰乱项和多变量密码。即使有了白盒的保护,密钥也并不绝对安全,白盒也面临着多种多样的攻击。

AES密钥白盒受到的攻击方式主要包括两种,一种是BGE攻击,另外一种就是DFA攻击。OPPO安全针对以上攻击方式,提供了扩展T-Box、随机置换、迭代混淆等多种防护方案,在性能保证的基础上更进一步保障密钥的安全。

除了AES算法之外,OPPO安全还深度研究了国密SM4、ECC、RSA等算法,在更多的安全技术探索和算法研究的基础上,为开发者和应用平台提供更优质的解决方案,携手保护用户隐私。

03
检测移动恶意应用

与提升恶意行为检测能力

随着移动恶意应用的恶意行为和攻击方式愈加复杂,加固保护愈来愈多样化。当前,恶意行为的静态代码分析面临着程序化难度大、人力投入大、成本变高等难点,OPPO为应对以上难点并弥补静态检测的缺点,引入了动态检测的方法,从而更精准高效地检测出存在恶意行为的应用。

动态分析检测方法是对应用行为进行判断和检测。基于恶意行为的动态分析检测方法,应用很多时候都需要调用系统的API来执行各种功能。动态分析检测可以通过审查应用对系统API的调用序列和各API的调用参数以及API调用的背景环境,用明确的逻辑判断该应用是否有执行恶意行为。这样能够帮助开发者和应用平台对恶意扣费、恶意传播、资费消耗、间谍监控、隐私窃取等行为进行有效的检测,将恶意行为暴露,保护用户的隐私安全和财产安全。

在新型恶意攻击方式不断涌现、恶意软件自身行为持续演化、恶意软件对抗行为日益普遍的背景下,自然语言处理、深度学习等智能化方法与程序分析技术不断发展并融合,激发出了多种基于智能化技术的恶意行为检测新思路。这些新技术的应用显著提升了恶意行为的检测能力,为移动生态的安全带来了更多的保障。

例如,面对新型攻击不断涌现,WebView新型恶意行为检测技术能够对App-to-Web攻击进行建模,并通过自动化检测工具发现多款新型恶意软件;面对恶意软件不断演化,通过对API语义的构建和利用,可以增强现有检测模型的可持续检测能力;面对对抗行为不断加剧,通过对轻量级敏感行为进行监控,可以对恶意行为进行高效检测。

04

OPPO移动应用安全实践

和SDK安全质量保障实践方案

随着移动互联网的高速发展,移动应用中引入第三方SDK的数量剧增,而三方SDK往往会成为移动应用整体的安全短板。OPPO基于三方SDK安全检测的工作实践结合SDL实施的经验总结,落地了一套移动三方SDK安全质量保障实践方案。

针对三方SDK主要包括隐私合规检测、漏洞检测和恶意行为检测三个重点检测内容,OPPO采用静态污点分析技术, 将敏感数据标记为污点(Source点),然后通过跟踪和污点数据相关的信息的流向, 检测在关键的程序点(Sink点)是否会影响某些关键的程序操作,从而识别程序是否存在安全风险。

在技术维度,OPPO制定了“安全检测项-反射调用检测-黑名单库-安全检测报告”的三方SDK检测流程。

在安全流程的维度,OPPO基于三方SDK安全检测的工作实践结合SDL实施的经验总结,制定了“安全评审-黑名单匹配-安全扫描-人工审计”的三方SDK安全质量保障流程,保障OPPO终端安全应用的安全。

而面向移动应用安全,OPPO与参会的安全从业者交流了Android平台上的应用安全问题、安全技术发展以及OPPO在移动应用安全领域的行动和积累。

OPPO规划了三层次的移动应用安全平台整体架构。第一层是终端安全能力,包括安全加固和安全SDK;第二层是云端安全测评,包括文件扫描、广告检测、仿冒检测、漏洞扫描等等;第三层是行业安全解决方案,比如广告反作弊、广告反切量等等。

剖析安全风险、聚焦业务场景,OPPO为开发者和用户提供便捷、稳定、有效、全面的业务安全防护与用户隐私保护能力,并为此制定了清晰的规划:基础安全能力建设、用户隐私保护落地、移动端风控基础能力补齐、行业安全解决方案。

通过本期OPPO技术开放日,OPPO安全团队为到场的安全领域从业者和高校学生,详细解读了应用与数据安全防护,以及OPPO安全技术建设和相关成果。OPPO安全热切期待更多安全专家能够加入,一同为保护用户数据安全而努力,推动安全生态的建设。

OPPO技术开放日第六期丨OPPO安全解析“应用与数据安全防护”背后的技术相关推荐

  1. 2019微生物组—宏基因组分析技术研讨会第六期

    在广大粉丝的期待下,<生信宝典>联合<宏基因组>在2019年11月1-3日,北京鼓楼推出<宏基因组分析>专题培训第六期,为大家提供一条走进生信大门的捷径.为同行提供 ...

  2. 走进计算机科学与技术专业,一期一会丨与南国相会,带你走进计算机科学与技术专业...

    原标题:一期一会丨与南国相会,带你走进计算机科学与技术专业 本期邀请人物:谢晓莹 就读学院:信息科学技术学院 入学年份:2016年 就读专业:计算机科学与技术 曾任职务:信息学院学生会主席团助理,信息 ...

  3. 解析波士顿动力Handle机器人背后的技术(附PPT+视频)

    [转] http://www.leiphone.com/news/201703/URrR8CG2tmtghNDl.html 导语:Boston Dynamics 在机器人动力方面堪称翘楚,其由双足或多 ...

  4. 行业沙龙第六期丨数字化采购寻源,实现阳光采购

    采购是保障企业正常运转所需物资稳定供应的核心环节,对于企业实现降本增效实践具有重要意义.当前,我国数字化采购市场已进入爆发期,根据海比研究院预测数据,2022年我国数字化采购市场规模将达到28亿元,同 ...

  5. 开发技术前线 第六期

    Android 技术文章 Android 应用性能优化系列 那些年我们错过的响应式编程 深入理解Content Transition (part 2) Kotlin for Android (III) ...

  6. 【工程师笔记】第六期:一项Xeon E5-2600 v4测试数据的背后

    做技术的朋友可能有过类似这样的感觉--每天都会遇到新的问题,或者学到新的知识.然而一个人的时间和精力毕竟有限,不是所有的岗位都能做到总是亲力亲为,每人最擅长的领域也各不相同.为了使工程师自己踩过的坑. ...

  7. 精彩回顾 | 一张图读懂OPPO应用与数据安全防护

    以"应用与数据安全防护"为主题的OPPO技术开放日第六期完美收官. 此次活动,OPPO安全团队和业界专家向到场的安全领域行业从业者与高校学生,深度解读了OPPO云密码本.AES密钥 ...

  8. 【招募】腾讯技术开放日·5G多媒体专场

    导语:9月7日,深圳腾讯滨海大厦,云+社区邀您参加<腾讯技术开放日·5G多媒体专场>活动,聚焦5G国际标准和新兴媒体技术,结合腾讯多媒体实验室的实践成果,共同探讨5G时代下的创新媒体技术, ...

  9. 思岚科技即将亮相2019上交会 展示机器人自主行走背后的技术

    2019年4月18-20日,由×××商务部.科技部.×××和上海市人民政府,共同主办的中国(上海)国际技术进出×××易会(简称上交会CSITF),即将在上海世博展览馆拉开帷幕.本届上交会将重点聚焦人工 ...

最新文章

  1. 2021年大数据Spark(四十一):SparkStreaming实战案例六 自定义输出 foreachRDD
  2. 架构师之路 — 数据库设计 — 关系型数据库的约束类型
  3. php 点击删除数据,使用php脚本删除数据
  4. python编程输入标准-揭秘python编程技巧
  5. MongoDB学习笔记——Master/Slave主从复制
  6. python五:运算符
  7. 2.9 什么是端到端的深度学习-深度学习第三课《结构化机器学习项目》-Stanford吴恩达教授
  8. vba 自动换行_Excel中quot;强制换行quot;quot;快速求和quot;等操作,这9个AlT键技巧全都包含了...
  9. 百度pcs 如何获取Access Token
  10. php html标签自定义属性,详解H5的自定义属性data-*
  11. linux sh 编程,Linux shell 编程入门
  12. navicat 添加外键1215错误
  13. zabbix安装部署_听说你的学习之路又停留在了“不会安装”
  14. python_海龟绘图_画出奥运五环图---python工作笔记014
  15. ConstraintLayout约束布局
  16. 知行合一ArduPilot | ArduPilot控制器框架简述与PID参数整定
  17. 狂神说Spring笔记(全网最全)
  18. GRAIL Efficient Time Series Representation Learning论文阅读笔记(二)
  19. c语言字符串字数统计,C语言中使用lex统计文本文件字符数
  20. vmware的vmdk格式虚拟机转换为qcow2格式

热门文章

  1. magicbook2018+MX150+win10+显卡驱动445.87+cuda_10.0.130+cudnn_v7.6.4.38+conda4.8.3+tensorflow1.14.0
  2. python携程怎么做数据同步_利用python yielding创建协程将异步编程同步化
  3. Android Studio怎么把查看代码的左箭头、右箭头图标加到右边的快捷工具栏
  4. el-select 远程搜索时 没有箭头图标
  5. ISC技术分享:从RASP开启云上应用安全防护
  6. 测试地图长度和高度软件,‎App Store 上的“海拔测量仪-集指南针和GPS实时高度测距仪二合一”...
  7. xp系统显示无打印机服务器,怎样解决WinXP系统使用打印机提示无法设置默认打印机...
  8. 京东云PostgreSQL在GIS场景的应用分享
  9. 2016年Kubernetes(k8s)大事记
  10. R的爬虫和回归模型案例-以北京自如房租价格为例