誰(shuí)在窺探我的財(cái)富和隱私——ISC2016移動(dòng)安全發(fā)展分論壇成功舉辦

誰(shuí)在窺探我的財(cái)富和隱私——ISC2016移動(dòng)安全發(fā)展分論壇成功舉辦

本刊訊 2016年8月17日，ISC2016移動(dòng)安全發(fā)展分論壇在北京國(guó)家會(huì)議中心召開(kāi)，論壇由奇虎360公司與InForSec（網(wǎng)絡(luò)安全研究國(guó)際學(xué)術(shù)論壇）聯(lián)合舉辦。主題是“誰(shuí)在窺探我的財(cái)富和隱私”，論壇旨在從系統(tǒng)安全、數(shù)據(jù)隱私、移動(dòng)互聯(lián)網(wǎng)黑產(chǎn)、移動(dòng)支付安全等多個(gè)備受業(yè)內(nèi)外人士關(guān)注的話題出發(fā)，揭秘移動(dòng)生活中面臨的重重新威脅，并提供新的解決思路。超過(guò)400名安全行業(yè)人士與會(huì)并參與討論。

加州大學(xué)戴維斯分校計(jì)算機(jī)系教授陳浩分享了他在移動(dòng)廣告中安全領(lǐng)域的研究工作——“移動(dòng)廣告中安全和隱私的危險(xiǎn)及對(duì)策”，他介紹了在移動(dòng)廣告中存在的一些安卓問(wèn)題，主要是兩個(gè)方面：第一克隆應(yīng)用對(duì)原作者的影響，第二，廣告欺騙對(duì)廣告商的影響。他認(rèn)為：“移動(dòng)廣告是整個(gè)移動(dòng)應(yīng)用的基石，如果移動(dòng)廣告的安全出了問(wèn)題，大家不再使用移動(dòng)廣告，我們就不能再繼續(xù)使用免費(fèi)的移動(dòng)生態(tài)系統(tǒng)。”他著重分析移動(dòng)廣告中的用戶隱私、克隆應(yīng)用和移動(dòng)廣告的關(guān)聯(lián)，以及廣告欺騙，然后講解如何設(shè)計(jì)工具自動(dòng)檢測(cè)這些惡意行為，最后討論有效的防御手段。他通過(guò)分析量化克隆應(yīng)用對(duì)原應(yīng)用開(kāi)發(fā)者的廣告收入造成的損失和對(duì)其利益造成的損失，從17個(gè)應(yīng)用市場(chǎng)上下載了約26萬(wàn)個(gè)應(yīng)用，根據(jù)每個(gè)市場(chǎng)上下載應(yīng)用的情況，開(kāi)發(fā)了一個(gè)檢測(cè)克隆應(yīng)用的系統(tǒng)。同時(shí)，針對(duì)廣告欺騙，從19個(gè)市場(chǎng)上，檢查了15萬(wàn)個(gè)應(yīng)用，開(kāi)發(fā)了一個(gè)可大規(guī)模地檢測(cè)廣告欺騙的系統(tǒng)。通過(guò)網(wǎng)絡(luò)抓包，獲得所有和廣告有關(guān)的流量，通過(guò)特征分析與機(jī)器學(xué)習(xí)的方式，從而檢測(cè)出哪些是合法的流量，哪些是欺騙流量。

復(fù)旦大學(xué)系統(tǒng)軟件與安全實(shí)驗(yàn)室副主任張?jiān)丛跁?huì)上做了“移動(dòng)平臺(tái)應(yīng)用軟件隱私威脅與保護(hù)”的報(bào)告。他指出移動(dòng)應(yīng)用軟件在提供用戶便利性和良好體驗(yàn)的同時(shí)，也搜集了大量的用戶敏感數(shù)據(jù)，此類(lèi)數(shù)據(jù)區(qū)別于系統(tǒng)和設(shè)備相關(guān)的敏感數(shù)據(jù)（例如SSID，GPS數(shù)據(jù)），而是與用戶自身息息相關(guān)（例如用戶名、密碼、住址），然而目前此類(lèi)敏感數(shù)據(jù)還未引起大家的重視。梳理移動(dòng)應(yīng)用軟件中用戶敏感數(shù)據(jù)的威脅，結(jié)合案例呼吁業(yè)界對(duì)此類(lèi)數(shù)據(jù)進(jìn)行安全性保護(hù)，并提出在移動(dòng)應(yīng)用軟件中識(shí)別此類(lèi)敏感數(shù)據(jù)的初步方法。他和他的團(tuán)隊(duì)采用基于文本分析的方法，較好地識(shí)別了一些用戶輸入類(lèi)的隱私，更好地保護(hù)這些隱私數(shù)據(jù)。

西安交通大學(xué)智能網(wǎng)絡(luò)與網(wǎng)絡(luò)安全教育部重點(diǎn)實(shí)驗(yàn)室副教授沈超在論壇上做了“移動(dòng)終端交互行為分析的身份主動(dòng)認(rèn)證與安全感知”的報(bào)告。他認(rèn)為，隨著移動(dòng)互聯(lián)網(wǎng)絡(luò)的迅速發(fā)展，人們?cè)谏詈凸ぷ魃蠈?duì)智能終端的依賴(lài)程度日益加深，智能終端（例如智能手機(jī)和平板電腦）上記錄和存儲(chǔ)著用戶越來(lái)越多的重要數(shù)據(jù)和隱私信息，例如賬戶、個(gè)人信息、密碼等。移動(dòng)安全公司Lookout統(tǒng)計(jì)每年有價(jià)值幾十億美元的移動(dòng)設(shè)備遭到盜竊或丟失，相關(guān)統(tǒng)計(jì)報(bào)告表明，有超過(guò)60%以上的移動(dòng)用戶在使用手機(jī)時(shí)不設(shè)置密碼，身份安全問(wèn)題帶來(lái)的用戶數(shù)據(jù)和隱私安全風(fēng)險(xiǎn)急劇上升。因此安全有效的身份驗(yàn)證手段是保證用戶數(shù)據(jù)和隱私安全的關(guān)鍵問(wèn)題，對(duì)公眾的經(jīng)濟(jì)和利益安全具有重要意義。他以智能終端人體輸入行為為身份載體，分析移動(dòng)用戶在輸入過(guò)程中所展現(xiàn)出的交互行為特征，探討基于行為特征的身份主動(dòng)認(rèn)證和保護(hù)技術(shù)。

此外，盤(pán)古團(tuán)隊(duì)核心成員、上海犇眾信息技術(shù)有限公司首席科學(xué)家王鐵磊在論壇上介紹了“Pangu9 越獄揭秘”，360高級(jí)手機(jī)樣本分析師陳宏偉在論壇上做了“企業(yè)級(jí)惡意程序開(kāi)發(fā)者攪局移動(dòng)安全”的報(bào)告，安天實(shí)驗(yàn)室武漢移動(dòng)安全公司副總經(jīng)理陳家林在論壇上揭秘移動(dòng)銀行和支付黑產(chǎn)的狀況與運(yùn)行機(jī)制，華為高級(jí)安全總監(jiān)王梓介紹了華為公司移動(dòng)支付解決方案實(shí)踐。

國(guó)家973首席科學(xué)家，復(fù)旦大學(xué)軟件學(xué)院教授、博士生導(dǎo)師楊珉主持了本次論壇。