投身于大安全领域生态建设 | OPPO 的网络信息安全建设方法论

在移动互联网逐渐成为主流的现在， 5G 的到来更是加速了万物之间的互联速度。而移动端作为全球网络的最大载体，目前仍然存在一些安全隐患。在 9 月 21 日举办的【OPPO 大移动安全高峰论坛】上，中国信息通信研究院移动安全联盟秘书长杨正军先生，就提到了关于网络安全的几个隐患。

首先是 Android 的漏洞问题依然居高不下，据不完全测试显示，平均每款终端存在的漏洞是 21 个，漏洞最多的终端有 185 个，终端漏洞中位数是 4 个，每个漏洞平均的修复续期是 277 天，这也佐证了整个移动行业的漏洞现状的确比较严峻；其次，移动应用依然存在较多安全隐私问题，比如大家热议的 Android 上权限的滥用、控制、捆绑推广、关联启动、非法广告等等；最后是数据安全问题，在个人隐私愈发被重视的现在，世界各国都在陆续推出有关非法数据交易的相关法律法规，因此，在移动互联网领域，企业也在面临着各国数据安全隐私保护风险的合规压力。

这也是为什么 OPPO 要举办【OPPO 网络安全挑战赛】以及【OPPO 大移动安全高峰论坛】的原因。从行业角度看，在万物互联的现在，各领域的数据都在网络上，安全问题频发不断，全球所面临的网络安全问题的确十分严峻；

从人才角度来看，即便安全领域越来越受到重视，最近几年网络安全从业者的数量也在增加，但是对于安全领域内的需求来说，人才数量依然有较大缺口。并且绝大部分的高校学生，他们缺乏“直面网络安全问题”的实践机会，完全没有网络安全的攻防经验，更是没有国内目前已经成体系化的安全运营经验。

因此，OPPO 网络安全挑战赛以及高峰论坛的举办，对于业内安全领域来说，为大家搭建了交流成长平台。在此次举办的【OPPO 大移动安全高峰论坛】上，OPPO 互联网安全总监韩方、腾讯云安全负责人董志强、上海交大新生代网络安全人才代表杨文博和陈天成、阿里巴巴高级安全专家张迅迪、OPPO 终端资深安全专家陈武都对当前的安全形势，发表了自己的观点与实践，为未来网络信息安全的发展抛砖引玉。

移动端手机厂商当前所面临的安全风险

OPPO 互联网安全总监韩方，现场解读了当前移动手机厂商所面临的安全风险，他总结道，OPPO 智能手机覆盖了全球 40 个国家和地区，ColorOS 月活用户超过 3 亿，因此所有互联网企业所面临的攻击风险在 OPPO 互联网业务里都会涉及。另外，国内移动手机厂商的互联网业务模式发展迅猛，而 OPPO 就是最有代表性的手机厂商， 纵观国内手机领域的互联网业务面临的安全问题：

• 手机厂商的互联网业务，同样会面临诸如账号撞库攻击、暴力注册，游戏礼包和软件商店盗刷、欺诈、盗号等安全隐患。

• 漏洞预警，互联网业务使用了大量 Nginx 等开源技术，优势是这些技术非常先进且性能优越，能够为支撑业务的快速发展与变更提供了很好的服务。但不足是，如果第三方文件库或开源软件出现安全方面问题，就会对整个体系造成连锁影响。

• 网络攻击，诸如 DDOS 攻击、CC攻击等常见网络攻击手段。 可以导致手机服务中断，从而影响用户的使用场景。

• 数据安全，2018年5月，欧洲正式执行了GDPR，进一步表明了欧洲对于数据安全以及个人数据安全的重视，全球都在越来越重视用户隐私和数据按去哪，作为手机厂商，一如既往在用户隐私和数据安全方面持续完善和投入，加解密、秘钥分发、认证授权、隐私保护等领域， 持续提升用户数据安全性； APP安全，这是整个移动互联网领域的安全问题，手机厂商基本都拥有自己的APP，因此就需要具备 APP反调试、反暴力破解等安全举措。

• 入侵防御，大量的服务器、网络设备、以及服务器上运行的开源软件，都需要在整个基础设施的环境上做到跟黑产进行对抗，包括入侵的主动检测、实时防御等，保障整个基础设施环境的安全性。

以上提到的网络安全问题，一直是困扰着行业发展的关键，也切身影响着消费者的利益。而这么多年来，OPPO 在互联网安全对抗中也有了不少经验和成果，韩方在现场也给大家分享了不少干货。其中，OPPO 的安全中台是一大亮点，它通过大数据安全集群把每个安全防御的系统联动起来，成功形成一个立体化防御体系，全面对抗攻击，整体确保体系安全性。

腾讯情报驱动的安全运营体系

在网络安全方面腾讯云平台安全负责人董志强将其中关键点归纳为“情报”二字，并在会议上分享了腾讯针对云平台安全所做的一系列举措，可归纳为以下几点：

• 将云平台的相关核心组件关联起来；

• 对漏洞进行监测，直至监测到漏洞的发布源和传播源；

• 由人工参与进行研判是否需要预警或深入分析，根据研判的结果再来决定是要预警还是继续深入分析；

• 利用POC进行内部验证，最后再回到应急响应这个步骤来。

目前，腾讯云监测的核心组件已经监测到 100 多个云平台可用情报，所有的组件都是基于过去一两年内应急响应机制所梳理出来的容易出现漏洞的地方。

那么要想收集情报，数据就是重中之重了。获取网络上的数据信息有很多种方式，其中爬虫是最高效、且最重要的形式之一。当然并非所有的信息都能被爬到，有很多网站都设置了防爬虫的措施。因此考虑到对抗，收集数据所用的爬虫要具备很强的反爬能力。而在爬取到相应的数据后，再通过相应的规则过滤掉无用情报，才是对于平台安全来说相当有价值的情报。

另外，其实当前人工智能的落地非常广泛，很多领域已经实现了自动化。但在安全领域，董志强认为漏洞的处理一定要有人工的介入，人工处理才是整个情报系统中的最重要的一步，只有经过人工干预后，才能最终判断这个情报是否有深度分析的必要。

智能家居领域的网络安全隐患

随着互联网的持续深化，我们身边的智能家居也越来越普遍，智能电视的网络安全问题也越来越重要。上海交通大学密码与计算机安全实验室蜚语软件安全小组的杨文博和陈天成，就以智能电视认证为例，给大家讲解了智能家居领域到底存在有哪些网络安全隐患。

首先，在使用智能电视的过程中，我们都需要经历厂商所设定的三种认证模型：

• wifi认证：wifi密码是唯一的认证防护措施。

• 电视端发起认证：由于网络环境内设备复杂，需要电视对控制端发起认证。

• App端发起控制：App对电视发起控制时，会触发控制协议，这个控制协议中会隐含很多高权限的功能。

针对这三重认证，就会衍生出以下网络安全问题：

在第一重认证中，一些厂商会使用红外线遥控的方式让用户输入 wifi 的密码智能电视支持红外操控，但厂商的红外信号编码很多都是公开可获取到的，因此就可以利用这点来构造攻击信号；此外蓝牙连接输入 wifi 密码的方式也有可能误连接到攻击者的设备，之后转发遥控器流量到电视上，从而获取到蓝牙上的密码输入，并且有的蓝牙协议版本过低，被攻击者嗅探到后，就可以破解出蓝牙所输入的数据。

第二重认证比较复杂，分为四类：

• 默认信任所有网络环境下的设备：就不过多赘述，所有设备都能直接连接；

• 验证码：这种形式的安全度较高，攻击者在局域网中也可以同样通过攻击的方式拿到返回的认证凭证并与设备绑定的目的；

• 遥控器确认：需要用户通过蓝牙或红外来点击确认完成验证，但是攻击者可以通过修改电视名称这个字符来达到欺骗用户的目的；

• 透明认证：用户不会感知到认证过程，同样也不会感知到攻击者通过逆向得到用户名密码伪造认证的过程，基于Token的无用户认证交互方式，但是攻击者只要在电视蓝牙范围内就可以拿到蓝牙广播的Token并完成设备的绑定。

第三重认证中，有以下 3 种安全问题导致 APP 与电视之间的连接受到攻击，攻击者甚至可以直接获取到包括电视、摄像头画面等信息：

• 首先，在信息数据交互的过程中，由于没有加密，攻击者通过App的漏洞截取屏幕当前所显示的内容。

• 即便部分协议得到加密，但也存在不安全的可能，比如一些设备的加密协议所使用的密钥生成函数尽管很复杂，但是生成的key是固定的，相当于攻击者拿到key后就可以对电视进行操作。

• 智能电视的App里往往会集成多个功能，却无法保证其中隐藏的API，攻击者会利用这些电视助手分析，然后可以得到隐藏的API，并且其协议会允许用户通过远程的方式将协议发送到电视上，攻击者就可以轻松的远程发起攻击。

阿里巴巴基于 DSMM 的数据安全治理实践

没有规矩，不成方圆。安全领域同样如此，尤其在数据安全侧，更需要一套完善的数据安全模型来思考如何提升企业的数据安全和隐私保护能力。阿里巴巴高级安全专家，国内第一代黑客，知名安全组织安全焦点的创始人张迅迪，在现场阐述了由阿里主导的 DSMM 的数据安全治理实践。

阿里本身就是一个非常复杂的数据平台，除了企业自身，平台之上有商家、ISV（软件供应商）以及大量的物流生态。在这样一个复杂环境里，如何保护用户隐私、保障数据安全、如何使整个生态链更安全，共同提升安全水平？是作为平台必须思考的问题。

DSMM 标准用来衡量一个组织的数据安全能力成熟度水平，可以帮助行业、企业和组织发现数据安全能力短板，监管也可以用于数据安全管理，根据数据安全能力水平高低决定企业拥有数据的类型和范围，最终提升全社会的数据安全水平和行业竞争力。DSMM 划分成了 1-5 个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

其实数据安全是一个综合性的课题，没有一家厂商能够覆盖所有的数据安全问题。数据安全的复杂性，需要企业在做数据安全治理和隐私保护过程中，从制度流程、组织架构、人员能力等方面入手，然后再与各个业务部门间梳理相应的数据安全、隐私保护、合规规范，才能结合技术产品把整个数据安全治理做得更好。

AI 在恶意 app 检测中的应用

随着人工智能的发展越来越深入，人工智能技术的落地范围也越来越广泛。接下来的演讲中，OPPO 终端资深安全专家陈武，将传统的恶意应用检测方法和基于机器学习的检测方法进行对比分析，他表示，在未来希望可以利用 AI 技术实现更加智能化的病毒对抗。

而通过机器学习的形式来进行病毒检测，较常用的有下面四类：

• 基于Davlik指令的N—Gram序列检测方法

• 基于主题词和数据流的检测方法

• 基于权限与应用类别的检测方法

• 基于API调用序列的检测方法

最常用的是第三类和第四类。其中，第三类是基于权限与应用类别的检测方法，说清楚一点，就是如果一款应用悄悄申请了手机里读取通讯录、发送短信等权限，通过这款的 App 应用类型和申请权限就可以做出相关语境的语义分析，并进行初步判断；第四类是基于 API 调用序列的检测方法，这种方法来源于代码审计过程中的污点分析，通过将病毒恶意的行为外化并总结为 API 的调用序列，再进行相应的判定。

此外，陈武提到，他曾提出过一个恶意 apk 检测框架，主要是通过预处理来进行反编译的过程，最终获取调用 API 的序列及执行操作码，最终进行特征提取并向量化，从而得到特征向量。

还值得一提的是，传统的杀毒引擎面对快速编译和层出不穷的未知病毒有先天的缺陷，这个缺陷就是慢。

在传统的流程下，需要病毒分析师将病毒特征入库，这一过程非常冗长；很有可能旧有的病毒还没有来得及入库，进化后的病毒又已经出现了；同样，大量恶意代码也存在这样的问题，传统的恶意应用检测效率无法支撑现有的预防病毒环境。

那么如何处理呢？通过在关键事件下埋点，埋在该事件整个生命周期下的行为序列，通过对本地行为序列进行分析，来得到相应的行为列表。这种端云一体化的病毒查杀方式，能够实时对应用进行检测，极大提升了效率。

OPPO 打出一套“安全体系”组合拳

通过此次 OPPO 大移动安全高峰论坛，我们可以看到，安全问题的确不容忽视，而互联网时代不仅要让业务“活下来”，还要让业务“活得更安全”。随着互联网化的不断深入，未来只会有越来越多的终端、数据和用户接入到网络中来，网络安全所面临的压力也会只增不减。

而作为互联网安全领域的代表性厂商，OPPO 一直以来都对安全保持极高的关注，一方面通过不断规范终端上的各种应用、软件的行为，另一方面要求终端提倡安全防护能力，加强对于第三方的安全数据的管控，维护用户权益。

成立 OPPO 安全应急响应中心、作为核心成员发起成立了移动安全联盟、加入国际安全组织 CVE、OPPO Reno 2 成为首个通过移动终端安全能力和智能测试的智能手机、与信科院和移动安全联盟共同推进了 OPENID 体系……OPPO 通过各种举措， 在解决移动端隐私保护的同时，最大程度地保障了行业的健康发展。

此次 OPPO 举办的网络安全挑战赛及大移动安全高峰论坛，为国内相较于冷门“安全领域”注入了新的活力，更是为国内安全领域的发展抛砖引玉。相信通过此次论坛，会让更多的人明白，仍然有很多企业在为国内大安全领域的生态繁荣做出自己的贡献。