ENGLISH 4006-WOSIGN
首页>安全资讯>2016 ISC移动安全论坛:移动端隐私泄露成新风险

2016 ISC移动安全论坛:移动端隐私泄露成新风险

日前,第四届中国互联网安全大会(ISC 2016)在北京国家会议中心隆重召开,移动安全问题再度成为众多与会嘉宾关注和热议的话题。8月17日下午,“移动安全发展论坛”邀请加州大学戴维斯分校计算机系教授陈浩、复旦大学系统软件与安全实验室副主任张源从个人隐私保护问题、移动安全终端、移动支付安全等方面进行了热点问题剖析,从技术、管理层面提出应对方法。

 

移动广告中的安全和隐私危险

据CNNIC最新报告数据显示,截至2016年6月,我国手机网民规模已达6.56亿,网民中使用手机上网的人群占比达92.5%;此外,截至今年6月我国网民使用手机支付的比例已提升至64.7%。移动安全不仅关乎我们的隐私、同样关乎我们的财产,安防问题不容忽视。

在ISC 2016移动安全发展论坛上,加州大学戴维斯分校计算机系教授陈浩也带来了其研究成果。众所周知,大部分手机软件都是免费的,那收入从哪来?陈浩教授提到,广告收入占了很大比重,而这些免费软件的广告中往往暗藏玄机。

陈浩教授出席ISC2016移动安全发展分论坛

图1:陈浩教授出席ISC2016移动安全发展分论坛

陈浩教授介绍,移动广告平台通过将广告插件内置于手机APP中,实现广告的海量投放及管理,同时使开发者用户流量变现为广告收益,最终形成一个由广告主、手机广告代理商、广告平台、APP开发者、移动运营商、手机终端厂商和手机用户构成的移动广告利益链。

而目前应用程序存在的山寨问题如鲠在喉,陈浩教授表示,市场上这些和官方APP图标、文字、界面几乎一样、难以辨别的山寨APP实则是行业中的搅局者。他们令开发者减少受益,使整个市场状况混乱、存在不安全因素,同时令用户难以寻找高质量的应用程序。

 

用户输入的信息成隐私数据主要来源

论坛上,复旦大学系统软件与安全实验室副主任张源也就“移动平台应用软件隐私威胁与保护”这一议题发表演讲。张源对移动平台隐私威胁态势进行了分析,他认为,目前移动平台隐私面临计算模式、平台环境、开发环境以及生态环境四重威胁。

对于这四重威胁的具体体现,张源认为:

首先,业务逻辑前端化,将更多的隐私数据暴露在移动端;

第二,在平台环境方面,由于存在多个APP共享存储、计算、界面、输入等资源问题,致使终端环境复杂;

第三,APP内部山头林立,来自多个商业利益体的代码运行在一个程序中,开发环境混乱;

最后,生态环境方面,由于缺乏强有力手段保障APP的发行,导致应用商城管理混乱、重打包应用泛滥。

复旦大学系统软件与安全实验室副主任张源

图2:复旦大学系统软件与安全实验室副主任张源就隐私数据威胁问题发表演讲

另外,演讲过程中,张源对目前移动平台威胁的新特点也进行了剖析。目前,在移动平台上,用户输入的信息是隐私数据的主要来源,账号和密码信息、地址信息、资金账户信息等,这些敏感数据是软件安全应当着重关注的要点。

张源说,目前用户输入类隐私数据(UIP)存在数据格式各异、获取接口不规整、隐私数据获取形式不多样等特点。其中,识别哪些数据是用户输入的敏感信息是保护用户数据类隐私数据的必要条件,除此之外,还需要识别APP中所有的UIP数据以及针对接受UIP数据的所有控件。

在论坛演讲中,张源还对程序内部SDK可获取到哪些隐私、如何识别UIP控件、UI文本分析的思路、方法以及面临的挑战等问题进行了介绍,还特别提到了基于文本分析识别用户输入隐私控件获取用户输入隐私数据敏感UI控件的核心想法,受到了在场嘉宾的极大关注。

此外,ISC2016移动安全发展论坛中的各位嘉宾还就新趋势下,从系统安全、数据隐私、移动互联网黑产、移动支付安全等多个备受业内外人士关注的话题出发,揭秘其中的新威胁并提供解决思路。

相关资讯:

2016移动安全5大威胁

网络支付风生水起 钓鱼木马浑水摸鱼

移动支付大行其道 支付安全成"绊脚石"

移动APP存重大安全隐患,用户数据未启用HTTPS加密

沃通CA移动互联网专用ECC SSL证书保护移动端信息安全