9月24日，2020 OPPO開發(fā)者大會安全專場在線上舉辦。OPPO安全團隊帶來覆蓋軟件系統(tǒng)、應(yīng)用產(chǎn)品、IoT等多個領(lǐng)域的安全內(nèi)容分享，通過在不同領(lǐng)域的安全建設(shè)，維護(hù)全體開發(fā)者與合作伙伴的利益，并持續(xù)為用戶提供可信賴的、安全的產(chǎn)品。

OPPO安全為開發(fā)者生態(tài)保駕護(hù)航

在過去的一年，OPPO安全團隊累計攔截攻擊超過3000億次，相當(dāng)于每秒抵擋9500次攻擊，打擊黑灰APP超過500款，有利地保證了全體開發(fā)者和與合作伙伴的利益。以上成績，離不開OPPO安全團隊從技術(shù)創(chuàng)新上的努力。

OPPO安全深度研究安全攻防技術(shù)動態(tài)，通過AI+大數(shù)據(jù)進(jìn)一步提升對惡意行為畫像和識別能力，持續(xù)通過全球安全生態(tài)協(xié)同，對抗并打擊惡意攻擊行為。在打擊黑產(chǎn)方面，OPPO安全團隊經(jīng)過半年的研發(fā)，上線了全新的、多引擎融合的安全與隱私檢測平臺，自主研發(fā)識別引擎以及三方安全識別引擎。通過多套引擎融合檢測，配合安全隱私標(biāo)準(zhǔn)，實現(xiàn)對于黑產(chǎn)APP和惡意APP更準(zhǔn)確的自動化識別。通過OPPO安全的立體安全防護(hù)體系的建設(shè)，為整個開發(fā)者生態(tài)的穩(wěn)定可靠運行保駕護(hù)航。

OPPO非常重視自身產(chǎn)品和服務(wù)的安全性，致力于打造安全可靠產(chǎn)品和保護(hù)用戶的隱私。在開發(fā)者生態(tài)構(gòu)建方面，一直致力于打造綠色生態(tài)環(huán)境，對于黑產(chǎn)和惡意行為零容忍，堅決維護(hù)全體開發(fā)者和合作伙伴的利益。

OPPO建立健全快應(yīng)用的安全與隱私檢測

快應(yīng)用是一種基于手機硬件平臺的應(yīng)用形態(tài)，使用前端技術(shù)棧開發(fā)，允許用戶無需下載安裝APP便可以即點即用?？鞈?yīng)用便捷的產(chǎn)品特性受到用戶喜愛，已覆蓋超過10億設(shè)備，并在不斷延伸至其它智能終端使用。隨著快應(yīng)用的市場覆蓋越來越廣，快應(yīng)用安全與隱私問題日益凸顯。

在快應(yīng)用安全專題中，OPPO子午互聯(lián)網(wǎng)安全實驗室對快應(yīng)用的安全與隱私進(jìn)行了分析研究，并闡述了分析方法、檢測項、常見安全與隱私問題，希望能夠?qū)I(yè)界開展快應(yīng)用安全與隱私工作帶來啟發(fā)和幫助。同時，介紹了Zipperdown 漏洞、日志打印個人敏感信息、使用不安全的外部存儲、使用不安全的下載、任意網(wǎng)頁加載、exchange 接口誤用等多個快應(yīng)用典型漏洞，并分享給開發(fā)者相應(yīng)的應(yīng)對方案。

此外，OPPO子午互聯(lián)網(wǎng)安全實驗室開發(fā)的快應(yīng)用工具rpktool也在安全專場正式亮相。據(jù)介紹，rpktool是一款用于解包、調(diào)試、重打包快應(yīng)用的工具，能夠?qū)崿F(xiàn)解包時對js代碼進(jìn)行美化和分析，輔助相關(guān)人員進(jìn)行安全與隱私合規(guī)測試。

OPPO推出基于TA的移動終端密鑰安全服務(wù)OMKM

隨著移動互聯(lián)網(wǎng)的日趨完善以及云計算、大數(shù)據(jù)等技術(shù)的落地，互聯(lián)網(wǎng)應(yīng)用向無線領(lǐng)域不斷延伸和發(fā)展，移動終端密鑰安全問題同樣備受關(guān)注。安全的終端密鑰管理機制是通信數(shù)據(jù)安全的關(guān)鍵問題，目前大多數(shù)密鑰管理方案僅僅關(guān)注了密鑰在協(xié)議層面上的安全性，很少或沒有考慮密鑰在移動終端的存儲過程和使用過程中的安全性。

為了解決移動終端密鑰安全需求，OPPO推出了移動終端密鑰安全服務(wù)——OMKM。OMKM的架構(gòu)分為客戶端和服務(wù)端兩個部分。其中，客戶端由Android下的OMKM SDK、Android下的OMKM Service以及TEE下的OMKM TA構(gòu)成，基于TA的移動終端密鑰安全服務(wù)，為開發(fā)者提供密鑰全生命周期管理，提升業(yè)務(wù)數(shù)據(jù)和用戶隱私的安全性;在服務(wù)端，則主要包含部署在業(yè)務(wù)側(cè)后臺的OMKMS SDK和部署在OMKM后臺的service。

OMKM旨在為業(yè)務(wù)數(shù)據(jù)和用戶隱私提供更安全、便捷的安全密鑰服務(wù)。一方面，OMKM能夠為開發(fā)者提供可信執(zhí)行環(huán)境，從而保證密鑰在使用、存儲時的安全性，有效防止運行時的密鑰泄漏;另一方面，對密鑰進(jìn)行分層管理，層次化密鑰結(jié)構(gòu)更有利于密鑰的安全管理，適合多種密鑰應(yīng)用場景;此外，密鑰管理對業(yè)務(wù)透明，使開發(fā)者專注應(yīng)用功能實現(xiàn)和業(yè)務(wù)邏輯優(yōu)化，為產(chǎn)品提供全生命周期密鑰管理;最后，在多設(shè)備支持方面，為IoT設(shè)備、移動終端等提供了安全密鑰管理服務(wù)，并增強數(shù)據(jù)網(wǎng)絡(luò)傳輸和本地存儲的安全性。

OPPO IoT終端安全協(xié)作，共建安全的智能化生活

隨著運營商IPv6的部署，IoT規(guī)模將進(jìn)一步擴大。由于IoT的應(yīng)用、設(shè)備涉及的業(yè)務(wù)多種多樣，特性各不相同，使得整體攻擊面更大，IoT安全的復(fù)雜度、困難度也相對較高。

為此，OPPO投入技術(shù)資源，跟進(jìn)IoT底層協(xié)議安全進(jìn)展，為OPPO的IoT產(chǎn)品選擇合適的安全方案，并積極參與CCSA、TAF等國內(nèi)標(biāo)準(zhǔn)組織對IoT產(chǎn)品的安全標(biāo)準(zhǔn)制定。OPPO建設(shè)的HeyThings IoT平臺，也向開發(fā)者及合作伙伴開放，讓應(yīng)用開發(fā)人員也可以參與到IoT的生態(tài)建設(shè)。

同時，OPPO安全團隊也十分注重行業(yè)聯(lián)盟的合作。以車聯(lián)網(wǎng)功能融合為例，OPPO積極參與了國際汽車連通性聯(lián)盟(CCC)支持下一代的數(shù)字車鑰匙，未來將與車輛廠商合作，在OPPO終端產(chǎn)品上逐步部署。此外，OPPO還參與了行業(yè)互傳聯(lián)盟，進(jìn)行了協(xié)議層、軟件層的協(xié)同，保證跨廠商終端用戶的文件傳輸體驗。

OPPO希望以用戶、廠商、硬件供應(yīng)商為基礎(chǔ)，結(jié)合應(yīng)用開發(fā)者、白帽子、安全服務(wù)提供商的安全能力，在監(jiān)管部門、標(biāo)準(zhǔn)組織、聯(lián)盟組織的合作推動下，通過IoT生態(tài)鏈條上各相關(guān)方的協(xié)作，不斷提升IoT終端的安全水平，攜手共建安全的智能化生活。

發(fā)布《ColorOS安全白皮書》，持續(xù)為用戶提供安全可信的合規(guī)產(chǎn)品

在2020 OPPO開發(fā)者大會上，OPPO正式發(fā)布了ColorOS 11。ColorOS為用戶提供無邊界的體驗和感受時，必須同時保護(hù)用戶數(shù)據(jù)。OPPO從意識、流程、技術(shù)、標(biāo)準(zhǔn)組織等多維度持續(xù)構(gòu)建以安全為核心之一的CorlorOS，為用戶提供可信賴的、安全的產(chǎn)品。

據(jù)OPPO安全團隊介紹，OPPO軟件研發(fā)總?cè)藬?shù)已超過六千人，下設(shè)六大國內(nèi)外研究所，在軟件、硬件及標(biāo)準(zhǔn)三大領(lǐng)域展開研究工作，為用戶提供高效、智能而富有設(shè)計感的ColorOS手機操作系統(tǒng)。OPPO副總裁&軟件工程事業(yè)部總裁吳恒剛表示：“對公司來說，安全合規(guī)尤其重要，它是紅線中的紅線。未來軟件要成為全球可信賴的品牌基礎(chǔ)，就要把安全能力構(gòu)建好”。

全新的ColorOS系統(tǒng)搭載OPPO端云協(xié)同的加密密鑰技術(shù)，通過AI+大數(shù)據(jù)技術(shù)來提升軟件安全對抗能力，為用戶體驗保駕護(hù)航。安全可信賴的ColorOS，不僅帶來諸多保護(hù)用戶隱私與數(shù)據(jù)安全的新功能，并取得了ISO、ePrivacy以及TrustArc等國際標(biāo)準(zhǔn)機構(gòu)的認(rèn)證。

為了讓用戶能夠更加了解OPPO產(chǎn)品的安全和隱私合規(guī)態(tài)度和能力，并與用戶進(jìn)行更加深入的互動，OPPO特發(fā)布《ColorOS安全白皮書》。該白皮書采用通俗易懂的語言，展現(xiàn)OPPO對安全的認(rèn)識和洞察，分層分領(lǐng)域介紹安全功能的背景、價值和安全性。

未來，OPPO安全團隊將繼續(xù)堅持以保護(hù)用戶信息為核心，加深加強攻防分析和可信技術(shù)研究，落地業(yè)界優(yōu)秀實踐和保護(hù)方法，持續(xù)為用戶提供安全可信和合規(guī)的產(chǎn)品。

免責(zé)聲明：市場有風(fēng)險，選擇需謹(jǐn)慎!此文僅供參考，不作買賣依據(jù)。

標(biāo)簽：