2016年8月17日,ISC2016移动安全发展分论坛在北京国家会议中心召开,论坛由奇虎360公司与InForSec(网络安全研究国际学术论坛)联合举办。主题是“谁在窥探我的财富和隐私”,论坛旨在从系统安全、数据隐私、移动互联网黑产、移动支付安全等多个备受业内外人士关注的话题出发,揭秘移动生活中面临的重重新威胁,并提供新的解决思路。超过400名安全行业人士与会并参与讨论。
全体专家合影
加州大学戴维斯分校计算机系教授陈浩分享了他在移动广告中安全领域的研究工作——“移动广告中的安全和隐私危险和对策”,他介绍了在移动广告中存在的一些安卓问题,主要是两个方面:第一克隆应用对原作者的影响,第二,广告欺骗对广告商的影响。他认为:“移动广告是整个移动应用的基石,如果移动广告的安全出了问题,大家不再使用移动广告,我们就不能再继续使用免费的移动生态系统。”他着重分析移动广告中的用户隐私、克隆应用和移动广告的关联,以及广告欺骗,然后讲解如何设计工具自动检测这些恶意行为,最后讨论有效的防御手段。他通过分析量化克隆应用对原应用开发者的广告收入造成的损失和对其利益造成的损失,从17个应用市场上下载了约26万个应用,根据每个市场上下载应用的情况,开发了一个检测克隆应用的系统。同时,针对广告欺骗,从19个市场上,检查了15万个应用,开发了一个可大规模地检测广告欺骗的系统。通过网络抓包,获得所有和广告有关的流量,通过特征分析与机器学习的方式,从而检测出哪些是合法的流量,哪些是欺骗流量。
复旦大学系统软件与安全实验室副主任张源在会上做了“移动平台应用软件隐私威胁与保护”的报告。他指出移动应用软件在提供用户便利性和良好体验的同时,也搜集了大量的用户敏感数据,此类数据区别于系统和设备相关的敏感数据(例如SSID,GPS数据),而是与用户自身息息相关(例如用户名、密码、住址),然而目前此类敏感数据还未引起大家的重视。梳理移动应用软件中用户敏感数据的威胁,结合案例呼吁业界对此类数据进行安全性保护,并提出在移动应用软件中识别此类敏感数据的初步方法。他和他的团队采用基于文本分析的方法,较好地识别了一些用户输入类的隐私,更好地保护这些隐私数据。
论坛现场
西安交通大学智能网络与网络安全教育部重点实验室副教授沈超在论坛上做了“移动终端交互行为分析的身份主动认证与安全感知”的报告。他认为,随着移动互联网络的迅速发展,人们在生活和工作上对智能终端的依赖程度日益加深,智能终端(例如智能手机和平板电脑)上记录和存储着用户越来越多的重要数据和隐私信息,例如账户、个人信息、密码等等。移动安全公司Lookout统计每年有价值几十亿美元的移动设备遭到盗窃或丢失,相关统计报告表明有超过60%以上的移动用户在使用手机时不设置密码,身份安全问题带来的用户数据和隐私安全风险急剧上升。因此安全有效的身份验证手段是保证用户数据和隐私安全的关键问题,对公众的经济和利益安全具有重要意义。他以智能终端人体输入行为为身份载体,分析移动用户在输入过程中所展现出的交互行为特征,探讨基于行为特征的身份主动认证和保护技术。
论坛观众
此外,盘古团队核心成员、上海犇众信息技术有限公司首席科学家王铁磊在论坛上介绍了“Pangu9 越狱揭秘”,360高级手机样本分析师陈宏伟在论坛上做了“企业级恶意程序开发者搅局移动安全”的报告,安天实验室武汉移动安全公司副总经理陈家林在论坛上揭秘移动银行和支付黑产的状况与运行机制,华为高级安全总监王梓介绍了华为公司移动支付解决方案实践。
观众记笔记
国家973首席科学家,复旦大学软件学院教授、博士生导师杨珉主持了本次论坛。