本刊訊2016年8月17日,ISC2016移動安全發展分論壇在北京國家會議中心召開,論壇由奇虎360公司與InForSec(網絡安全研究國際學術論壇)聯合舉辦。主題是“誰在窺探我的财富和隐私”,論壇旨在從系統安全、數據隐私、移動互聯網黑産、移動支付安全等多個備受業内外人士關注的話題出發,揭秘移動生活中面臨的重重新威脅,并提供新的解決思路。超過400名安全行業人士與會并參與讨論。
加州大學戴維斯分校計算機系教授陳浩分享了他在移動廣告中安全領域的研究工作——“移動廣告中安全和隐私的危險及對策”,他介紹了在移動廣告中存在的一些安卓問題,主要是兩個方面:第一克隆應用對原作者的影響,第二,廣告欺騙對廣告商的影響。他認為:“移動廣告是整個移動應用的基石,如果移動廣告的安全出了問題,大家不再使用移動廣告,我們就不能再繼續使用免費的移動生态系統。”他着重分析移動廣告中的用戶隐私、克隆應用和移動廣告的關聯,以及廣告欺騙,然後講解如何設計工具自動檢測這些惡意行為,最後讨論有效的防禦手段。他通過分析量化克隆應用對原應用開發者的廣告收入造成的損失和對其利益造成的損失,從17個應用市場上下載了約26萬個應用,根據每個市場上下載應用的情況,開發了一個檢測克隆應用的系統。同時,針對廣告欺騙,從19個市場上,檢查了15萬個應用,開發了一個可大規模地檢測廣告欺騙的系統。通過網絡抓包,獲得所有和廣告有關的流量,通過特征分析與機器學習的方式,從而檢測出哪些是合法的流量,哪些是欺騙流量。
複旦大學系統軟件與安全實驗室副主任張源在會上做了“移動平台應用軟件隐私威脅與保護”的報告。他指出移動應用軟件在提供用戶便利性和良好體驗的同時,也搜集了大量的用戶敏感數據,此類數據區别于系統和設備相關的敏感數據(例如SSID,GPS數據),而是與用戶自身息息相關(例如用戶名、密碼、住址),然而目前此類敏感數據還未引起大家的重視。梳理移動應用軟件中用戶敏感數據的威脅,結合案例呼籲業界對此類數據進行安全性保護,并提出在移動應用軟件中識别此類敏感數據的初步方法。他和他的團隊采用基于文本分析的方法,較好地識别了一些用戶輸入類的隐私,更好地保護這些隐私數據。
西安交通大學智能網絡與網絡安全教育部重點實驗室副教授沈超在論壇上做了“移動終端交互行為分析的身份主動認證與安全感知”的報告。他認為,随着移動互聯網絡的迅速發展,人們在生活和工作上對智能終端的依賴程度日益加深,智能終端(例如智能手機和平闆電腦)上記錄和存儲着用戶越來越多的重要數據和隐私信息,例如賬戶、個人信息、密碼等。移動安全公司Lookout統計每年有價值幾十億美元的移動設備遭到盜竊或丢失,相關統計報告表明,有超過60%以上的移動用戶在使用手機時不設置密碼,身份安全問題帶來的用戶數據和隐私安全風險急劇上升。因此安全有效的身份驗證手段是保證用戶數據和隐私安全的關鍵問題,對公衆的經濟和利益安全具有重要意義。他以智能終端人體輸入行為為身份載體,分析移動用戶在輸入過程中所展現出的交互行為特征,探讨基于行為特征的身份主動認證和保護技術。
此外,盤古團隊核心成員、上海犇衆信息技術有限公司首席科學家王鐵磊在論壇上介紹了“Pangu9越獄揭秘”,360高級手機樣本分析師陳宏偉在論壇上做了“企業級惡意程序開發者攪局移動安全”的報告,安天實驗室武漢移動安全公司副總經理陳家林在論壇上揭秘移動銀行和支付黑産的狀況與運行機制,華為高級安全總監王梓介紹了華為公司移動支付解決方案實踐。
國家973首席科學家,複旦大學軟件學院教授、博士生導師楊珉主持了本次論壇。