2019-11-18 17:47:1025656人阅读
随着移动设备的广泛普及和AI时代网络安全态势的日趋复杂,对于安全边界的正确理解已关乎整个安全体系构建的完整性。
作为天府杯“2019国际网络安全大赛暨2019天府国际网络安全高峰论坛”的重要组成,由百度安全承办,复旦大学、西安四叶草协办的AI安全分论坛于11月17日在成都天府新区西博城举行,多位来自国内学术界、企业界的顶尖专家齐聚一堂,与百度安全一道共同探讨了各自在AI安全领域的行业观察与研究成果。
会上,973首席科学家、复旦大学教授杨珉为现场嘉宾带来了名为“移动生态系统安全研究的再思考”的主题演讲。在万物互联的大背景下,从Android系统生态的安全能力、隐私保护、应用虚拟化安全等角度分析了当前移动生态系统安全方面的诸多问题,并提出了相应的应对策略。
复旦大学教授杨珉
长期以来,Android系统一直面临着生态与安全需求之间的尖锐矛盾。其不仅体现在原生系统版本的碎片化与设备厂商对系统的深度定制化之间,也凸显在海量、多来源、快速迭代的移动应用软件所带来的复杂性之中。杨珉教授认为,高频的代际演化,脆弱的泛在计算,让场景依赖的用户隐私内涵不断延展的同时,也使得漏洞的挖掘方法颇为低效、安全补丁可达性较差。“保护对象增多,攻防博弈激烈,而Android系统内生安全机制自身所存在的过于复杂的安全访问权限等一系列问题,让其在面向生态系统方面的安全能力不足,无法有效应对当下协作式的攻击。”
由此,杨珉教授也提出了对移动系统软件敏感行为表征的模型重构思路——基于逆向型刻画软件行为语义的机理,结合动、静态程序分析方法,以处理对恶意行为的检测、感知和防范。
事实上,移动生态系统层面的安全问题正在引发更广泛的安全担忧。例如在隐私保护方面,通过对逾40万款Android热门App的样本调查,杨珉教授和他的研究团队发现超过35%的App包含由用户输入敏感数据的行为需求,大量第三方数据库的数据被过度共享,存在泄露用户隐私的隐患。而在安全访问控制和应用虚拟化方面,杨珉教授也在演讲中借助多个实例,阐述了它们潜在的安全风险。
在他看来,生态系统的安全验证围绕着不同权级的安全边界展开,而错误理解安全边界,系统实现与安全架构的背离会导致不安全的编程实践,在代码实现时也会有安全漏洞的产生风险。这一方面要求技术人员在操作系统安全架构设计时改变既有的“黑客视角”,需要从最终用户、应用开发者、系统开发者和安全架构师多重角度出发;另一方面其也要求在开源生态下软件安全管控机制和测评体系层面,需要重视已知漏洞安全补丁的部署问题和未知漏洞的高效发现问题。
作为国内顶尖的高等院校,复旦大学计算机学科拥有逾60年历史,承担了国家重大专项、973计划、863计划、支撑计划、自然科学基金重点项目及上海市重大科技攻关计划等多项课题。而作为国内恶意代码检测、漏洞分析挖掘、AI安全、区块链安全、Web安全和系统安全机制领域的专家,杨珉教授及其所在的复旦大学系统软件与安全实验室的研究为移动生态系统安全的演化和完善提供了更为完整的思维。
一直以来,百度安全高度重视与国内外顶尖高校的合作,并通过对前沿技术研究的开展、支持中国安全战队走出国门、引入国际顶级极客大会DEF CON等一系列努力,打造全球网络安全交流平台,助力产学研各界的协作与年轻一代安全技术人员的成长。以此次天府杯为契机,百度安全也将在未来与学术界加强合作,共同构建AI安全的开放生态。