9月24日,2020 OPPO开发者大会安全专场在线上举办。OPPO安全团队带来覆盖软件系统、应用产品、IoT等多个领域的安全内容分享,通过在不同领域的安全建设,维护全体开发者与合作伙伴的利益,并持续为用户提供可信赖的、安全的产品。
OPPO安全为开发者生态保驾护航
在过去的一年,OPPO安全团队累计拦截攻击超过3000亿次,相当于每秒抵挡9500次攻击,打击黑灰APP超过500款,有利地保证了全体开发者和与合作伙伴的利益。以上成绩,离不开OPPO安全团队从技术创新上的努力。
OPPO安全深度研究安全攻防技术动态,通过AI+大数据进一步提升对恶意行为画像和识别能力,持续通过全球安全生态协同,对抗并打击恶意攻击行为。在打击黑产方面,OPPO安全团队经过半年的研发,上线了全新的、多引擎融合的安全与隐私检测平台,自主研发识别引擎以及三方安全识别引擎。通过多套引擎融合检测,配合安全隐私标准,实现对于黑产APP和恶意APP更准确的自动化识别。通过OPPO安全的立体安全防护体系的建设,为整个开发者生态的稳定可靠运行保驾护航。
OPPO非常重视自身产品和服务的安全性,致力于打造安全可靠产品和保护用户的隐私。在开发者生态构建方面,一直致力于打造绿色生态环境,对于黑产和恶意行为零容忍,坚决维护全体开发者和合作伙伴的利益。
OPPO建立健全快应用的安全与隐私检测
快应用是一种基于手机硬件平台的应用形态,使用前端技术栈开发,允许用户无需下载安装APP便可以即点即用。快应用便捷的产品特性受到用户喜爱,已覆盖超过10亿设备,并在不断延伸至其它智能终端使用。随着快应用的市场覆盖越来越广,快应用安全与隐私问题日益凸显。
在快应用安全专题中,OPPO子午互联网安全实验室对快应用的安全与隐私进行了分析研究,并阐述了分析方法、检测项、常见安全与隐私问题,希望能够对业界开展快应用安全与隐私工作带来启发和帮助。同时,介绍了Zipperdown 漏洞、日志打印个人敏感信息、使用不安全的外部存储、使用不安全的下载、任意网页加载、exchange 接口误用等多个快应用典型漏洞,并分享给开发者相应的应对方案。
此外,OPPO子午互联网安全实验室开发的快应用工具rpktool也在安全专场正式亮相。据介绍,rpktool是一款用于解包、调试、重打包快应用的工具,能够实现解包时对js代码进行美化和分析,辅助相关人员进行安全与隐私合规测试。
OPPO推出基于TA的移动终端密钥安全服务OMKM
随着移动互联网的日趋完善以及云计算、大数据等技术的落地,互联网应用向无线领域不断延伸和发展,移动终端密钥安全问题同样备受关注。安全的终端密钥管理机制是通信数据安全的关键问题,目前大多数密钥管理方案仅仅关注了密钥在协议层面上的安全性,很少或没有考虑密钥在移动终端的存储过程和使用过程中的安全性。
为了解决移动终端密钥安全需求,OPPO推出了移动终端密钥安全服务——OMKM。OMKM的架构分为客户端和服务端两个部分。其中,客户端由Android下的OMKM SDK、Android下的OMKM Service以及TEE下的OMKM TA构成,基于TA的移动终端密钥安全服务,为开发者提供密钥全生命周期管理,提升业务数据和用户隐私的安全性;在服务端,则主要包含部署在业务侧后台的OMKMS SDK和部署在OMKM后台的service。
OMKM旨在为业务数据和用户隐私提供更安全、便捷的安全密钥服务。一方面,OMKM能够为开发者提供可信执行环境,从而保证密钥在使用、存储时的安全性,有效防止运行时的密钥泄漏;另一方面,对密钥进行分层管理,层次化密钥结构更有利于密钥的安全管理,适合多种密钥应用场景;此外,密钥管理对业务透明,使开发者专注应用功能实现和业务逻辑优化,为产品提供全生命周期密钥管理;最后,在多设备支持方面,为IoT设备、移动终端等提供了安全密钥管理服务,并增强数据网络传输和本地存储的安全性。