11月29日,OPPO技术开放日第六期在成都1906创意工厂-A11举行。本期活动以"应用与数据安全防护"为主题,聚焦密钥、恶意行为检测等移动应用背后的安全技术,分享OPPO在安全领域的最新技术成果与行业解决方案,推动安全生态的建设。
OPPO云密码本背后的安全技术:端云协同的安全密钥技术
前不久的2020 OPPO开发者大会,OPPO正式发布ColorOS 11。全新的ColorOS 11系统搭载OPPO端云协同的安全密钥技术。OPPO基于端云协同安全密钥技术为支撑,实现了用户密码的安全托管和安全同步。
OPPO端云协同的安全密钥技术以安全的跨平台自动同步、应用间互相隔离的独立密钥体系、OPPO无法解密和攻击者无法窥探为目标,构建安全的密钥管理方案,进而实现保护用户数据的目的。
OPPO通过AES密钥白盒解决密钥安全问题
现如今,数据及信息安全已逐渐演变为密钥安全。如果密钥不安全,加密便形同虚设。目前,业内密钥安全需求主要包括核心技术保护、终端数据安全、防止密钥窃取和数据传输安全四个层面,AES密钥白盒的出现在一定程度上解决了密钥的安全问题。
白盒将密钥扩展并融入到了加密运算中,使得密钥在整个加密过程中不再明文出现,从而达到隐藏和保护的目的。白盒的实现方式主要有三种,分别是查找表技术、插入扰乱项和多变量密码。即使有了白盒的保护,密钥也并不绝对安全,白盒也面临着多种多样的攻击。
检测移动恶意应用与提升恶意行为检测能力
随着移动恶意应用的恶意行为和攻击方式愈加复杂,加固保护愈来愈多样化。当前,恶意行为的静态代码分析面临着程序化难度大、人力投入大、成本变高等难点,OPPO为应对以上难点并弥补静态检测的缺点,引入了动态检测的方法,从而更精准高效地检测出存在恶意行为的应用。
动态分析检测方法是对应用行为进行判断和检测。基于恶意行为的动态分析检测方法,应用很多时候都需要调用系统的API来执行各种功能。动态分析检测可以通过审查应用对系统API的调用序列和各API的调用参数以及API调用的背景环境,用明确的逻辑判断该应用是否有执行恶意行为。这样能够帮助开发者和应用平台对恶意扣费、恶意传播、资费消耗、间谍监控、隐私窃取等行为进行有效的检测,将恶意行为暴露,保护用户的隐私安全和财产安全。
OPPO在SDK安全质量保障方面的实践方案和移动应用安全实践
随着移动互联网的高速发展,移动应用中引入第三方SDK的数量剧增,而三方SDK往往会成为移动应用整体的安全短板。OPPO基于三方SDK安全检测的工作实践结合SDL实施的经验总结,落地了一套移动三方SDK安全质量保障实践方案。
针对三方SDK主要包括隐私合规检测、漏洞检测和恶意行为检测三个重点检测内容,OPPO采用静态污点分析技术, 将敏感数据标记为污点(Source点),然后通过跟踪和污点数据相关的信息的流向, 检测在关键的程序点(Sink点)是否会影响某些关键的程序操作,从而识别程序是否存在安全风险。
通过本期OPPO技术开放日,OPPO安全团队为到场的安全领域从业者和高校学生,详细解读了应用与数据安全防护,以及OPPO安全技术建设和相关成果。OPPO安全热切期待更多安全专家能够加入,一同为保护用户数据安全而努力,推动安全生态的建设。