9月24日,2020OPPO开发者大会安全专场在线上举办。OPPO安全团队带来覆盖软件系统、应用产品、IoT等多个领域的安全内容分享,通过在不同领域的安全建设,维护全体开发者与合作伙伴的利益,并持续为用户提供可信赖的、安全的产品。
OPPO安全为开发者生态保驾护航
随着运营商IPv6的部署,IoT规模将进一步扩大。由于IoT的应用、设备涉及的业务多种多样,特性各不相同,使得整体攻击面更大,IoT安全的复杂度、困难度也相对较高。
OPPO非常重视自身产品和服务的安全性,致力于打造安全可靠产品和保护用户的隐私。在开发者生态构建方面,一直致力于打造绿色生态环境,对于黑产和恶意行为零容忍,坚决维护全体开发者和合作伙伴的利益。
OMKM旨在为业务数据和用户隐私提供更安全、便捷的安全密钥服务。一方面,OMKM能够为开发者提供可信执行环境,从而保证密钥在使用、存储时的安全性,有效防止运行时的密钥泄漏;另一方面,对密钥进行分层管理,层次化密钥结构更有利于密钥的安全管理,适合多种密钥应用场景;此外,密钥管理对业务透明,使开发者专注应用功能实现和业务逻辑优化,为产品提供全生命周期密钥管理;最后,在多设备支持方面,为IoT设备、移动终端等提供了安全密钥管理服务,并增强数据网络传输和本地存储的安全性。
在过去的一年,OPPO安全团队累计拦截攻击超过3000亿次,相当于每秒抵挡9500次攻击,打击黑灰APP超过500款,有利地保证了全体开发者和与合作伙伴的利益。以上成绩,离不开OPPO安全团队从技术创新上的努力。
OPPO安全深度研究安全攻防技术动态,通过AI+大数据进一步提升对恶意行为画像和识别能力,持续通过全球安全生态协同,对抗并打击恶意攻击行为。在打击黑产方面,OPPO安全团队经过半年的研发,上线了全新的、多引擎融合的安全与隐私检测平台,自主研发识别引擎以及三方安全识别引擎。通过多套引擎融合检测,配合安全隐私标准,实现对于黑产APP和恶意APP更准确的自动化识别。通过OPPO安全的立体安全防护体系的建设,为整个开发者生态的稳定可靠运行保驾护航。
OPPO建立健全快应用的安全与隐私检测
快应用是一种基于手机硬件平台的应用形态,使用前端技术栈开发,允许用户无需下载安装APP便可以即点即用。快应用便捷的产品特性受到用户喜爱,已覆盖超过10亿设备,并在不断延伸至其它智能终端使用。随着快应用的市场覆盖越来越广,快应用安全与隐私问题日益凸显。
此外,OPPO子午互联网安全实验室开发的快应用工具rpktool也在安全专场正式亮相。据介绍,rpktool是一款用于解包、调试、重打包快应用的工具,能够实现解包时对js代码进行美化和分析,辅助相关人员进行安全与隐私合规测试。
为了解决移动终端密钥安全需求,OPPO推出了移动终端密钥安全服务——OMKM。OMKM的架构分为客户端和服务端两个部分。其中,客户端由Android下的OMKMSDK、Android下的OMKMService以及TEE下的OMKMTA构成,基于TA的移动终端密钥安全服务,为开发者提供密钥全生命周期管理,提升业务数据和用户隐私的安全性;在服务端,则主要包含部署在业务侧后台的OMKMSSDK和部署在OMKM后台的service。
OPPOIoT终端安全协作,共建安全的智能化生活
全新的ColorOS系统搭载OPPO端云协同的加密密钥技术,通过AI+大数据技术来提升软件安全对抗能力,为用户体验保驾护航。安全可信赖的ColorOS,不仅带来诸多保护用户隐私与数据安全的新功能,并取得了ISO、ePrivacy以及TrustArc等国际标准机构的认证。
同时,OPPO安全团队也十分注重行业联盟的合作。以车联网功能融合为例,OPPO积极参与了国际汽车连通性联盟(CCC)支持下一代的数字车钥匙,未来将与车辆厂商合作,在OPPO终端产品上逐步部署。此外,OPPO还参与了行业互传联盟,进行了协议层、软件层的协同,保证跨厂商终端用户的文件传输体验。
OPPO希望以用户、厂商、硬件供应商为基础,结合应用开发者、白帽子、安全服务提供商的安全能力,在监管部门、标准组织、联盟组织的合作推动下,通过IoT生态链条上各相关方的协作,不断提升IoT终端的安全水平,携手共建安全的智能化生活。
发布《ColorOS安全白皮书》,持续为用户提供安全可信的合规产品
为此,OPPO投入技术资源,跟进IoT底层协议安全进展,为OPPO的IoT产品选择合适的安全方案,并积极参与CCSA、TAF等国内标准组织对IoT产品的安全标准制定。OPPO建设的HeyThingsIoT平台,也向开发者及合作伙伴开放,让应用开发人员也可以参与到IoT的生态建设。
在快应用安全专题中,OPPO子午互联网安全实验室对快应用的安全与隐私进行了分析研究,并阐述了分析方法、检测项、常见安全与隐私问题,希望能够对业界开展快应用安全与隐私工作带来启发和帮助。同时,介绍了Zipperdown漏洞、日志打印个人敏感信息、使用不安全的外部存储、使用不安全的下载、任意网页加载、exchange接口误用等多个快应用典型漏洞,并分享给开发者相应的应对方案。
在2020OPPO开发者大会上,OPPO正式发布了ColorOS11。ColorOS为用户提供无边界的体验和感受时,必须同时保护用户数据。OPPO从意识、流程、技术、标准组织等多维度持续构建以安全为核心之一的CorlorOS,为用户提供可信赖的、安全的产品。
随着移动互联网的日趋完善以及云计算、大数据等技术的落地,互联网应用向无线领域不断延伸和发展,移动终端密钥安全问题同样备受关注。安全的终端密钥管理机制是通信数据安全的关键问题,目前大多数密钥管理方案仅仅关注了密钥在协议层面上的安全性,很少或没有考虑密钥在移动终端的存储过程和使用过程中的安全性。
未来,OPPO安全团队将继续坚持以保护用户信息为核心,加深加强攻防分析和可信技术研究,落地业界优秀实践和保护方法,持续为用户提供安全可信和合规的产品。
据OPPO安全团队介绍,OPPO软件研发总人数已超过六千人,下设六大国内外研究所,在软件、硬件及标准三大领域展开研究工作,为用户提供高效、智能而富有设计感的ColorOS手机操作系统。OPPO副总裁&软件工程事业部总裁吴恒刚表示:“对公司来说,安全合规尤其重要,它是红线中的红线。未来软件要成为全球可信赖的品牌基础,就要把安全能力构建好”。
为了让用户能够更加了解OPPO产品的安全和隐私合规态度和能力,并与用户进行更加深入的互动,OPPO特发布《ColorOS安全白皮书》。该白皮书采用通俗易懂的语言,展现OPPO对安全的认识和洞察,分层分领域介绍安全功能的背景、价值和安全性。
OPPO推出基于TA的移动终端密钥安全服务OMKM
(新闻稿2020-09-27)