《OPPO智能护盾应用安全治理白皮书(2023).docx》由会员分享,可在线阅读,更多相关《OPPO智能护盾应用安全治理白皮书(2023).docx(32页珍藏版)》请在课桌文档上搜索。
1、1弓言22典型风险52.1 礴砥览52.2 典醉例剖析62.2.1 隐私泄露:防不胜防的采集手段62.2.2 套施用:瞒天过醐5装92.2.3 广僦窗:干朝做勺云挖单窗122.2.4 诱:引ISfi三型陷阱142.2.5 AT智能:M俱通勺路D3彳耕措施201.1 OPPO智能户盾201.1.1 安全大脑211.1.2 5飒211.1.3 7W5JP241.1.4 251.1.5 启西权251.1.6 因亍慢271.2 对外合作281.2.1 生态合作281.2.2 OPPO应用心能力开放304 触325 *i三S331引言随着科技的飞速发展,移动互联网应用种类日益丰富,数量繁多。这些应用涵盖
2、了生活的方方面面,从社交娱乐、购物消费、金副理财,至殿育学习、健康医疗等。在手机的方寸之间,人4,何以随时随地享受互联网带来的便捷与乐趣。根据工信部公布飕据,2023年前3个季度,我国国内市场上监测到活跃的APP数量为261万款(包括安朝弹果商店),其中9月份,安卓应用商店S茶应用累计下1遑达到近542亿次。(源:httpsgxsjfxhlw)据统计,近年来全球移动应用市场的新应用下载量呈逐年增长趋势。移动应用市场新应用下载星JtadDUii然而,移动互联网应用的繁荣发展也带来了一城和问题。恶意应用滋生、隐私泄露风险、支付安全问题等,者哙用户带来了潜在的威胁。这些应用背后执行K)应用行为、采集
3、的用户雌、下载的应用内容是否都能被用户可知可控?在应用上架、下载、安装、启动、运行、卸载的过程中,是否g院过了安全可靠的回三检M?OPPO智能护盾针对上述问题,装了近年来风隐渊的分布情况黑灰产投放应用的变化趋势以及多个典型案例。为保障用户免受恶意应用攻击,造成隐私泄露、财产损失和数据丢失等风险,0PPO智能护盾在应用的上架、下载、嵋、启动、运招幽载各付市都采取了有效的防护措施。同时期望通过这份报告,与广大用户和开发者、行业专家和政府组织共同开展恶意应用的防范治理,保雌们的数字生态安全,共同构建T可信赖、安全、健康、可持续发展的数字世界。2典型风险2.1 风险总览近年来,随着互联网反诈、恻瞅以及
4、网络安全宣传的广泛开展,用户对手抽动互联网安全风险的意识日益增强,对个人龈和财产安全的重视程度有了显著提升。然而,黑灰产也随着用户意识形态和环境的变化,不断更新和升级其手段和略,寻找新的机会以获取非法利益。OPPO智能护盾按照病毒、风险和IE常应用分类,统计了2023年手机管家扫描应用数据,结果显示,有病解啊险问题的应用占了近三分之一。12%近年来用户安装应用类型分布正彦皮用 廉应用 其中,根据病毒类进行统计,匕戢各颊毒发现次如下:Ilhear* 色审车 木口屯山,高统计显示恶意广告、色情病篇口欺诈病毒是用户遭遇的主要攻击类别,这些恶意应用严重影响了移动用户的正常使用体验,给用户带来了巨大的困
5、扰前Bg失。OPPO智睁盾对典型病毒和案例进行了剖析,分析了其近年来演靖势和S全升级对抗态势。2.2 典型案例剖析2.2.1 隐私泄三:防不胜防的采集手段随着互联网和数字技术的快速发展,个人隐私保护变得日益紧迫。大期S时代,个人信息泄露和J监用的风险增加,监管部门已加强重视并出台相关法律法规以儡P公民权益。尽管如此,个人隐私泄露事件仍频发,不良企业和个人为谋利侵犯他人隐私,给受害者带来精神压力和财产损失。这些行为严重侵害隐私权,威胁社会稳定和安全。OPPO通过朝应S商店审核检源辘对本年度隐私合规问题的分布婕如下:隐私合规主要问题分布违规收集个人信息.超莫国收集个人信息.迷娓使用个人信息逐利用户
6、使用定向推送功籍APP普制、频IL过度索取权限APP软繁自启动和关联启动1误导用户下QPP欺误导用户提供个人信息违规收集个人信息现阶段法强调,APP、SDK在收集个人信息前,必须B用散呻户收集的目的、方式和范围,并获得用户同意。常见的做法是通逆单窗等形式向用户展示个人信息姐三规则。然而,TAPP未经用户同意,擅自收集如IMEI、IMSL设备MAC地址、软件安装列表、位置、联系人等敏感信息,这种未经同意提前获取个人信息的行为,违反了法规要求。在未同意隐私政策之前,获取个人信息强制、频繁、过度索取权限现阶段射期确规定,APP在首次打开或运行fl寸,若未展示与所请求权限相关的功能或0艮务,则不得提前
7、向用户弹窗申请开启如通讯录、定位、短信、录音、相机、日历等敏感权限。然而,在实际检测中,我4渡现部分APP在启动后,不论是否合理或是否真正需要,都会通过强制手段或顷繁弹窗申请等方式申请各类权限,严重干扰用户的正常使用体睑。不给权限不给用频船单窗申请权限虚假宣传福利优惠,只为收集隐私信息用户启动某APP时,窗口页面用虚假或误导性信息诱导用户提照机号并验证登录,声称有相关活动,但实际上登录后即提示办理成功,却无对应三务提(矩!版臊作引导。用户因此暴露手机号,随后收到大量骚t推销广告。诱导方式常包括登录领取红包、内存清理优化”等话术,此类行为侵害用户权益严重影响用户体验和信息安全。O还未登录虚假登录
8、广告2.2.2套壳应用:瞒天过海的坟变装作为手机厂商和应用分发平台,我们需要严格把关应用程序的上传与审核,建立完善的审核机制,对所有上传的应用程序进行严格的功能评估和安全隐私检测。只有符合标准的应用程序才能架,确保户下载的应用程序安全可靠。然而,近期我”他发现了一些包括应用程序伪装上架、恶意软件传播等应用市场乱象问题,这些问题严重影响了用户的权益和市场的秩序。应用伪装上架指a勺是开发者通过伪装或篡改应用程序信息,使其在应用商店中展示的内容与实际功能或内容不符,从而吸弓I用户下载使用。违规开发者会在应用商店中隐藏应用程序的真实用途,文昭一款无资质借贷应用伪装成工具应用,以欺骗用户下靳唯用。随着技
9、术的发展,应用程序的自更新机制成为伪装上架的新手段。通过自更新机制,应用程序可以在一段时间后触发后台自动下载和安装更新。这使得恶意应用能够在用户下载后不知情的情况下被篡改或添加恶意功能。伪装上架,分发无资质借贷应用启动应用后,以炼专网弼1示用户下载无资质借贷应用藕R应用提示更新,变欺诈网赚应用正常兼职应用使用一t间后提示更新,随后转变为右边网赚应用间成在线赌场,概率玩法未取J返点*-*toee9MMJItMrMWS4BMI.a三NB.tOaBWBEfM.f.IMMWI.*rwBtMWMteSMMMatBaIItd*MWIMW”BmMiiaMitgm俨三M9.rrtui).MSMVr. )vt(
10、 M 4)( .,l rrr.etro*erttAlHv,1lJconfrt).0tStrirf(9 v IWW .;();v*Rt(lrtvtl.tf UerWtH.PMtrHrT.gctkmr.MWsUatVU*mfert.,他介用f WSfi ei I 2);:“”|至,、 , , e.l ,、 QrtvUl8J0B Utrtvtll.;R*te0”viwl, AlertVtJ 1.AS5*Or0, lertytl.; J 上ftJtfJSeJf*三T)tcft(-c*ctl *; AIertVnI. rey*eierw: pss4); retrjUertvt H reoeAlerwiv
11、ts() 获取并保存上传用户支付密码public vol。EWEC 1 rHt();it v thi.getMs( , Iat vi thi.cetPs(r , it v2 1M.!l(,.v410(vfl)ntv(); .vlu0(v2).lntvlu(); .vlufO)u(); .vlu0*(w94) 4ntvt)ut();5 x lhi.gtnst( . - .v)uo(vs).ltvlu,1 a IMyg”C,WtYIIu)”:, 一)U th“KHgrtfS.“:) )( try (- r . t v.).MfMCtio0(u);(S :)tHls.MDtfS.gtt(v).Hor
12、*utUe(t);(.,.:*. )tais.swrtfs.fet(vS).Hrormcie(U);亡 rm】一(MmI);(-rd. ; )tHU.Mxs.get(v4) .prormctl9F( M);“dIEXM);(,一,:,.1 )tms.tfisortfx.fet(vS.l).Perforaution(U)I) cU(Interrupte4EkT rce();当再次打开该恶意应用的支付页面时,自动填充密码并支付2.2.5 人工智能:与时俱进的黑产套路随着ChatGPT的横空出世,人工智育缎术开始潜移默化的影响人4性活中的各个产业,在瞰提供!邮的同时,也给黑灰产带来了口的变化和ft级
13、。ChatGPT是一种基于人工智能技术的语言模型,可以进行自然语言交互,并生成高质量的文本内容。然而这种技术逐渐被黑灰产了解和菖1,进而开始研制各类AI应用,并被用于实现更加高效和精准的欺诈和攻击行为。真假GPTChatGPT的广泛应用推动了聊天和内容生掇APP的流行,这也让黑灰产发现了这类应用的商机,并打着官方的名义尝试上架i热应用到OPPO应用商店。据近期统计,应用商店已拦截了77款峥违规应用,其违规内容包括欺诈充值、内容涉黄涉毒、窃取用户隐私等。例如,山寨版的ChatGPT应用常常会以免费试用为诱饵,吸引用户下载和使用。然而,在使用过程中,用户会不断被诱导进行付费操作,如升级会员、购买道
14、居。这些付费服务的价格往往虚高,而且用户很难退款或取消自动续费。同时,这些应用往往没有取得合法M经营许可或资质,涉嫌法经营,给用户带来经济损失和法律风险。T长照片,AI造谣AI换腌支术,大家或多或少都听说过,这项技术基于深度学习,能自动触视频或图片中的人脸,实现逼真的人脸合成它在电影特效、超用缘制作等领域具有广泛的应用。很多社交媒体应用功能也会通过此技术为用户带来创意十足的娱乐体验,然而最近发现恶意应用中,已经存擀Il用AI换脸支术生成色情内容的违法行为。,BMMMM.NMBMMBSJkMKaa,上I力m岸上务-r*注以应用W用AI生成情内容OPPO智能护盾提示,此类应用触发了国家的法律风险。
15、首先,如果未经授权使用他人的肖像进行换脸,会像Ef也AM肖像权;其次,如果利用AI换蹴讲制作虚假酶,可能会涉及到三旁、造谣等法律问题;此外,如果利用AI换脸技术制作色情内容,可能会涉及到色情、淫秽等造型廓行为。需要遵守相关法律法规,尊重他人的合法权益,避免违法行为的发生。3保护措施3.1 OPPo智能护盾随着黑灰产应用的逃逸对甘支术的不断升级,且基于内容与业务作恶的应用日益猖獗,给手机厂翻幅市场带来了巨大的海翱战这些黑灰产应用不仅侵犯了用户的合法权益,也严重影响了整个行业的健康发展。为了应对这T,段,OPPO不断完善应用商店审核机制和标准,加强安全检测和处置力度。同时,我们也建设了端云协同的,
16、多产品联动的全方位应用安全隐私防护体系T育闿户盾,通过安全大脑H通软件商店、浏览器、手机管家等产品的安全防护能力,覆盖到用户使用APP的所有场景,为用户将律阚深防御体系。潮览N有意网址栏应用下线防护围绕该体系,智能护盾通过安全大脑实现了贯穿应用程序从上架、下载、安装、启动、运行、卸载阶段全生命周期的安全隐私海里通过格据和AI技术的运用,保障了移动应用的安全隐私等见,同时也为所有开发者提供公修色的应用较环境3.1.1 安全大脑智能P盾基于大斓和AI的安全大脑,会对APP进行上百个维度的静态特御动态特征的提取。随着黑灰产技术对S谢升级,很多APP通过云控方式来投放恶意组件,比如只在靛的时间特定的地
17、区特定的用户才会触发恶意行为,隐蔽性非常强,所以除了样本承据之外,智能护盾还引入了业务梭据和信誉大罐进行多维度关联分析,使得识别更准确。此外,智能护盾在安全大脑内部构建了数十款检测弓I擎和模型,多模型交叉识SU,综合研判,能够更全面的检测出恶意样本。最后,智能护盾通过稳定可靠的云服务统一中控联动各产品谢亍持续安全运营,针对各类安全事件都能及时高效响应,全网生效大敌谟智能检测3.1.2 W则OPPO致力于保护用户安全f绑,滁开发者侵害用户权益。我们在开放平台公开了应用安全、翻彝R旷告违规等审核规范,并通过人工、多引擎和智育侨户盾三重扫描,对应用商店上架APP进行严格检测,及时拦截违规APP0此外
18、,智能护盾全天候用最新的检测标准和模型进行全库巡测,高效保障H店应用的安全合规。在2023年,我们成功识SU并拦截了2万余款不合规应用和8千余款恶意应用,冻结了138个恶意开发主体,有力维护了用户利益不口用生态的安全。 对应用进行静动态检测、自动螭、污点分析、启发式检测、沙箱养殖等多维度检测。 全库累计样本数达到4940万,恶意样桢达到3000万,每天可自动化扫描100万个文件。智能护盾 多引擎扫描人工专家 审核反引描 方毒扫 三病擎 结合行业专业引擎(腾讯、安天、支付宝等)判庭结果,多模型交叉识别。 精准识别应用的病毒(色情、赌博、隐私泄II、木马、恶意应用先单窗等)、广告插件、隐私、漏洞五
19、大类问题。*AB分”已通过F三MlM“SCOCCDAXSacsOPPO商店上架应用均通过安全隐私检I针对高灵敏度的“摇T广告,智邮盾的隐私合规检测平台已实现根据国家法规明确规定的管控标准进行自动化专项检测。OPPO解检测台自动化模拟星触发广告取证3.1.3 下载防护根据三能户殍充计,砧描到的病毒和风险应用中,就包括一些恶意网站或应用提供a勺直接下载短妾。浏览器作为用户下载APP的重鎏g道,内容来源繁杂,暗藏风险。智育时户盾在OPPo浏览器下载文件时进行iF捌,提醒并拦恶意APP;针对未知样本文件,通过利用首个下载用户的上报信息,异步分析应用安全性,并扩充样本库,为全网用户提供应用风险期口与预览
20、功能。 提前判断APK文件安全性,对中风险应用提示风险、高风险应用禁止下载 预览下载应用的关键信息,如应用名、图标和小,确保用户下载的APP符合砌,簸误下载浏览器每年拦截13亿次恶意APP下载和391亿次恶意网址访问浏览器下载防护提示3.1.4 安黜描宙感到Sz用包后,需要通过安装来实现应用的正常运行,在岫市,为确保应用的安全性,系统会对应用进行安钻描,由智能护盾安全大脚!供检测能力,对恶意应用进行警示和拦截,据统计,OPPO手机僦每年拦截10亿多次恶意APP安装,有效地减少恶意应用在手机上的用S和危害,像户用户的繇和皮全。MIW,要量号rkf!示na:器:C谓丁二:MWOMaaM.mmMW9
21、M99i安装时提示存在风险和系统拦截高危应用的安装3.1.5 启棚权在应用首次启动使用过程中,会请求各种设备访问权限,如读取通讯录、短信、it三三等,有些权限并非应用提曲亥心功能的必要条件,但应用仍会以各种理由要求用户授权,而这些信息可能被用于广告推广、数据分析和销售,从而侵才巳用户的隐私和权益。但部分用户往往会因缺乏隐私保护意识而忽视这些问题,i三全部同意,给自己带来潜在的隐私泄露风险。智育侨户盾能够通过分析应用类型和功能场景向用户提供应用授权建议,并检测当前所有应用是否存在过邮权的情况,针对怪&出优化建议,帮助用户及A拨现授权风险。目前,智能权战!议功能已覆盖安卓13个权限组及其28个子权
22、限,湖全量OPPO应用市场琰应用。授权弹窗高亮显示推荐选项建议优化应用行为记录IMA*)Ae*过度授秘!示,引导用户T优化3.1.6 运行拦截手机应用恶意骚扰行为严重影响用户体廨呼机安全,其中后等单窗问题尤为严重,它们未经用户同意即自行在后台启动,展示广告或诱导用户操作界面,难以手动关闭,易导致误操作和恶意软件下载。同时,应用间相互拉活?成炼地损害用户权益和体验,如摇T“广告打断用户操作并导致甘几系统性能下降。OPPo通过商店审悌瞒云协同检测,精准识S岖睑行为,并实时徵里截风险应用行为,如锁屏广告、欺诈弹窗和S台保活。同时,加强对“摇T三”广告的管控,防止非用户预期的跳转。2023年,智能护盾
23、成功拦截72亿次恶意APP行为,确保应用运行时安全。1aj*wtI-mCl30n1U1t19*应用智能控m&is,廿HUt七为MNMUIS1W99力手机管家内可以查看应用恶意行为拦截记录BtB”O本来平平无奇的小地方,今日却变得异常的繁忙和紧张!门外豪车云集,每一辆豪车旁边,都站着跺脚足以霰动全国的大佬!有身价千亿的金融寡头,有常拥一省势力的地下皇,有传承数百年的顶级世家,曼有统御敌十万大军的将军四周,甚至出现了一队队全应用间广告雕专拦截3.2对外合作OPPO在应用安全方面,除了自有安全能力,国H极联合多家安全厂商,麒B性交流黑灰松势,共同野应用安全,筑牢安全防缘3.2.1 生态合作 金融级恶
24、意代码识SU引擎OPPO携手蚂蚁安全实验室共同研究金融诈骗APP的检测识,携手守护用户金融资产安全,已在OPPOFindX6等多款手机上线。金融级恶意代码识别引拿OppOMft三B OPPO&安天安全实验室OPPO同安天2022年成立联合安全实验室,共同研究恶意APP的特确职别,阵修提升对于恶意APP行为的识别能力,阻止多个恶意开发者团伙上架应用和分发,并联合发布应用安全白皮书。国内首家手机厂商加入AppDefenseAllianceOPPOffiGoogle联合打击勘卜黑灰产,通过用户投诉的应用信息,分析发现一系列无图标作弊广告应用。并建立长期沟通机制,对齐全球海外和国内的恶意手法,共同研究
25、和分析恶意特征,促进从Android底层优化和改进。与Google深入合作过程间亦成功成为国内首家手机厂商加入ADA(AppDefenseAlliance,LinuxFoundation子组织并由GooglexMicrosoft.Meta为首的对抗恶意软件的安全8,详见https:/www.appdefensealliance.org/)。H6CQRXQjoneplusOppOTM图片来自AppDefenseAlliance官网3.2.2OPPO应用安全能力开放OPPO欢迎更多企业DQA应用安全合作计划,共同帮助用户发现W截手机应用使用过程中遇SJ的问题和风险,让用户放心使用手机应用。我们对夕
26、隈供了以下能力供开发者接入:谈照为应用提供安全可信的风险检测能力,包括:恶意URL检测、终端环境安全检测、日志防泄漏检S,方便快速集成。官网雌:httpsZzbpen.oppomobile.cornevdevelopmentDoqinfo7id=1109可信数字身份密钥服务FID02是由RDO联盟和万维网联盟创建的一项标准,OPPO下T弋可信数字身份密钥是基于FIDO2标准的面向网络身份验证B螂型解决方案,不依赖密码飒因素身彳分验证,而是利用生物特征(指纹、人脸),让用户更快、更轻松、更安全、跨设备无密登录网站和应用程序。官网镯妾https/OPenoPPnevintroduction?Pag
27、eLname=PasSkey隐私安全检测服务基于AI和自动化能力,为开发者提供专业的隐私安全检测服务,协助开发者进行本,靛率的隐私安全检测。官网镯妾httpsy7openoppomobile.corrVnevyintroduction?PageLname=auditopen移动应用加固服务为开发者提供专业的移动应用安全加固月躇,通过深度的力嗜、加领术,防止应用被盗版破解、恶意篡改、核心代码窃取等,让移动应用安全建设不再含-种负担。官网镯妾:https/OpeHoPPnevintroduction?PageLname=reirrfrce应用安全治理是一项复杂且长期的任务。作为终端厂商和应用分发平
28、台,我们将不断优化和完善风险应用安全量里体系,并为用户提供更加安全、可靠的移动使用体验;加强与监管部门和行业开发者的合作,共同应对安全威胁。在开放平台我们将为开发者持续更新和提供安全服务和解决方案。对于开发者,需要遵循最佳狡全实践,确保应用在开发过程中具备足够的安全性,力口强与E平台的合作,及时11向应安全事件和8洞报,共同提升应用的安全性。同时,我4、他呼吁广大用户提高安全意识,了解常见的安全威胁和防护措施;疑正规渠道下载应用J黜手机W桐应用的更新,及时修复潜在的安全漏洞。总之,风险应用的安全治理需要手析商、开发者、用户和相关监管部门的共同参与努力,充分蟒自身的职责?昨用,形成有效的安全治理体系,才能为大家创造T更加安全健康的移动互联网环境。5术语表英文缩写英文全称中文全称APIApplicationProgrammingInterface口APKAndroidApplicationPackage应用程序包APPApplication这里指智能手机的应用程序SDKSoftwareDevelopmentKit软件开发工具包IMBInternationalMobileEquipmentIdentity国腌动设备识码IMSIInternationalMobileSubscriberIdentity国睫动用户识别码IPInternetProtocol网际互谢办议
