压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

尊敬的各位來(lái)賓，各位領(lǐng)導(dǎo)，大家上午好！很高興和大家一起分享百度移動(dòng)安全部在移動(dòng)支付領(lǐng)域所做的一些研究。

首先，看一組數(shù)據(jù)，截至2012年12月份，中國(guó)手機(jī)網(wǎng)民已經(jīng)達(dá)到5.52億，其中使用移動(dòng)支付的用戶達(dá)到2.67億，占總體手機(jī)用戶接近一半，比2013年1.26億增加了112%。中國(guó)手機(jī)銀行交易規(guī)模32.8萬(wàn)億，較2013年增長(zhǎng)157.1%。第三方移動(dòng)支付交易規(guī)模已經(jīng)達(dá)到近6萬(wàn)億，比2013年增加了391%。這些數(shù)據(jù)無(wú)論是手機(jī)銀行還是第三方支付都在快速發(fā)展。今天在這里我和大家分享移動(dòng)安全支付所面臨的問(wèn)題。

在近期百度移動(dòng)安全團(tuán)隊(duì)對(duì)四個(gè)品類62個(gè)應(yīng)用進(jìn)行了分析，包含了手機(jī)銀行、電商、第三方支付以及保險(xiǎn)理財(cái)四個(gè)品類，我們找了62款最熱門的應(yīng)用。在中國(guó)尤其Android用戶下載應(yīng)用要通過(guò)不同的渠道，不同的市場(chǎng)，包括論壇下載。我們通過(guò)不同的下載渠道里累計(jì)抽樣了5758個(gè)樣本進(jìn)行分析，發(fā)現(xiàn)形勢(shì)很嚴(yán)峻，中間超過(guò)100個(gè)應(yīng)用下載的樣本是非正版的，就是盜版的應(yīng)用。其中某個(gè)電商的盜版應(yīng)用多達(dá)97個(gè)，就是它一半左右的下載渠道下載的都是非正版的東西。手機(jī)網(wǎng)銀也是重災(zāi)區(qū)。19家銀行當(dāng)中，某一個(gè)銀行非正版渠道就多達(dá)30個(gè)。

這些盜版應(yīng)用一方面來(lái)自仿冒的應(yīng)用，一方面來(lái)自篡改的應(yīng)用，無(wú)論是仿冒還是篡改的應(yīng)用，如果用戶下載時(shí)都有可能導(dǎo)致他的數(shù)據(jù)丟失、系統(tǒng)破壞、用戶個(gè)人信息泄露，甚至導(dǎo)致個(gè)人財(cái)產(chǎn)的損失。所謂的仿冒應(yīng)用是黑客或黑色產(chǎn)業(yè)鏈的作者他去完全模仿一個(gè)正版的應(yīng)用，包括應(yīng)用的名稱、應(yīng)用的ICON，組織頁(yè)面的布局和顏色，看上去和正版應(yīng)用類似，但后面的后臺(tái)和邏輯是自己建立的。篡改應(yīng)用，黑色產(chǎn)業(yè)鏈開發(fā)者去下載一個(gè)正版的應(yīng)用進(jìn)行解剖，植入自己惡意代碼重新打包進(jìn)行發(fā)布，整體盜版應(yīng)用會(huì)給用戶帶來(lái)極大的困擾。

仿冒應(yīng)用，仿冒某手機(jī)客戶端手機(jī)網(wǎng)銀頁(yè)面，里面有個(gè)明顯的廣告條“新年大抽獎(jiǎng)”活動(dòng)，用戶點(diǎn)擊廣告條之后會(huì)誘導(dǎo)到填寫個(gè)人信息頁(yè)面，包括用戶的帳號(hào)、密碼、手機(jī)號(hào)之外，用戶填寫完成，提交之后讓用戶會(huì)有抽獎(jiǎng)的活動(dòng)，用戶很高興，中了一個(gè)20元的話費(fèi)。之后會(huì)有彈窗提示分享到好友，這樣用戶看到會(huì)大規(guī)模通過(guò)微信、微博、朋友圈、郵箱傳播，這樣帶來(lái)病毒爆發(fā)式的增長(zhǎng)。百度安全捕獲到這款應(yīng)用病毒樣本已經(jīng)監(jiān)測(cè)有幾千人下載了這個(gè)病毒，如果不用查殺統(tǒng)計(jì)去預(yù)測(cè)，48小時(shí)內(nèi)這樣的病毒感染人群會(huì)超過(guò)100萬(wàn)人次。

篡改類應(yīng)用，我們捕獲到支付寶大盜這樣的應(yīng)用，它通過(guò)把惡意代碼打包到正版支付寶當(dāng)中，啟動(dòng)應(yīng)用之后會(huì)自動(dòng)上傳用戶手機(jī)號(hào)碼、短信等，遠(yuǎn)程自動(dòng)屏蔽來(lái)自支付寶、淘寶的短信，并且通過(guò)釣魚頁(yè)面對(duì)虛擬電話，去騙取用戶姓名、手機(jī)號(hào)、身份證號(hào)等各種信息，然后又誘騙用戶修改用戶名、支付密碼，進(jìn)而竊取用戶支付寶資金。由于它可以屏蔽來(lái)自于官方客戶的短信，所以，這一切都在用戶不知情的情況下去做的。

正版應(yīng)用本身會(huì)有哪些安全問(wèn)題。

在今年5月份，百度移動(dòng)安全專家團(tuán)隊(duì)對(duì)17款支付類應(yīng)用，42個(gè)在線交易類應(yīng)用進(jìn)行安全審計(jì)，審計(jì)的結(jié)果是不容樂(lè)觀的，所有被檢測(cè)的樣本均不同程度存在這樣那樣的安全問(wèn)題，尤其漏洞方面，個(gè)別手機(jī)網(wǎng)銀客戶端多達(dá)580多的安全漏洞，其中高危漏洞多達(dá)43個(gè)，某一款理財(cái)軟件漏洞個(gè)數(shù)超過(guò)1200個(gè)，某一款非常知名的電商軟件漏洞數(shù)量最多能達(dá)到79個(gè)。

正版應(yīng)用由于研發(fā)過(guò)程中，開發(fā)人員往往趕工期，開發(fā)邏輯在應(yīng)用實(shí)現(xiàn)上，趕快把產(chǎn)品發(fā)布到市場(chǎng)上，對(duì)安全性沒有做更多的考量。由于正版應(yīng)用研發(fā)過(guò)程中，代碼本身所帶來(lái)的漏洞，它能給大家?guī)?lái)哪些危害呢？首先是拒絕服務(wù)大家非常熟悉；遠(yuǎn)程威脅，他拿到客戶客戶端，他通過(guò)客戶客戶端發(fā)送遠(yuǎn)程代碼執(zhí)行達(dá)到某些黑客特殊的目的；權(quán)限能力的泄露，每一款應(yīng)用都或多或少構(gòu)建了特殊的能力，一旦這個(gè)能力權(quán)限泄露的話，相當(dāng)于他的業(yè)務(wù)邏輯向黑客開了一扇門，比如這款應(yīng)用有讀取本地應(yīng)用數(shù)據(jù)庫(kù)的能力等等，這種能力如果得不到很好保護(hù)的話，也是非常危險(xiǎn)的；信息泄露，大家都很清楚，用戶個(gè)人帳戶和密碼有泄露的風(fēng)險(xiǎn)。

中間人的攻擊，大會(huì)開場(chǎng)之前我看到視頻里播放了心臟出血漏洞的危害，移動(dòng)互聯(lián)網(wǎng)尤其大量移動(dòng)應(yīng)用它的漏洞也有可能導(dǎo)致中間人攻擊。手機(jī)病毒數(shù)據(jù)，2014年全國(guó)Android平臺(tái)新增病毒軟件數(shù)量達(dá)到91.7萬(wàn)個(gè)，較2013年增長(zhǎng)4%。數(shù)量不大，但用戶感染量增幅是非常大的，2014年的Q3比2013年同期感染了達(dá)到了7倍，由此可見它的病毒危害和病毒傳統(tǒng)能力比之前有顯著的提升。

今年6月份百度安全捕獲到最新的，我們內(nèi)部叫GOST病毒（網(wǎng)銀神偷）。某一款手機(jī)網(wǎng)銀感染了網(wǎng)銀神偷病毒之后，用戶正常登錄網(wǎng)銀，如果用戶向親朋好友發(fā)起一筆轉(zhuǎn)帳，很正常地按照一步步流程填寫帳戶以及要轉(zhuǎn)帳的金額，得到的轉(zhuǎn)帳確認(rèn)頁(yè)面，比如給張三轉(zhuǎn)帳確認(rèn)等信息都沒有任何問(wèn)題，把驗(yàn)證碼提交之后，看到網(wǎng)銀轉(zhuǎn)帳成功的頁(yè)面，這一切看上去都是非常正常的。但很詭異的現(xiàn)象發(fā)生了，張三并收到這1000元，這筆資金莫名其妙轉(zhuǎn)到黑客帳戶里，類似這樣的病毒未來(lái)會(huì)越來(lái)越地發(fā)生。看上去形勢(shì)是非常嚴(yán)峻的。

分享另一類病毒（微信大盜），這個(gè)病毒的原理，通過(guò)它的主進(jìn)程注入到LiveShow（音），它檢測(cè)用戶的聊天記錄、好友關(guān)系、通訊錄等等信息，通過(guò)發(fā)送廣播的形式，主惡意進(jìn)程把用戶的隱私上傳到服務(wù)器端，通過(guò)掌握了用戶所有的隱私數(shù)據(jù)之后再進(jìn)行頂點(diǎn)一對(duì)一的欺詐，這個(gè)欺詐成功率是相當(dāng)高的。不可回避的是欺詐短信，百度數(shù)據(jù)顯示，2014年全國(guó)垃圾短信數(shù)量為454億條，換句話說(shuō)我們每人平均每月要收到9條垃圾短信，其中3%是詐騙短信，詐騙短信當(dāng)中有超過(guò)48%的詐騙短信是和支付類相關(guān)的，就是和銀行、保險(xiǎn)理財(cái)相關(guān)的。通常一條短信用戶收到是“尊敬的某某銀行客戶您好，您的銀行卡在某某ATM機(jī)上取款3000元，如果您有疑問(wèn)請(qǐng)撥打某某電話”，在座安全專家收到這樣的短信都知道是詐騙短信。但黑色產(chǎn)業(yè)鏈他們發(fā)這樣的短信成本非常低，一發(fā)就成千上萬(wàn)條，一定會(huì)有小白用戶收到這樣的短信就撥打了這樣的電話，繼而進(jìn)入詐騙環(huán)節(jié)。詐騙環(huán)節(jié)當(dāng)中最高的是偽基站的短信偽基站一般是模仿正常的某網(wǎng)站的官方客服電話或某網(wǎng)銀的客服電話。這是百度協(xié)助公安部破獲的偽基站犯罪團(tuán)伙的作案工具，可以看到作案工具非常精巧，平常在放A4紙的小盒子里，通常這樣的作案工具放在拉桿箱或背包里，在人群密集，比如大會(huì)周圍游蕩，或者開著車在繁華的車道上進(jìn)行游蕩，方圓2.5公里的用戶就接入到這個(gè)偽基站當(dāng)中。S代的偽基站，可以做到，用戶可以做到撥打電話和上網(wǎng)，可見這樣的偽基站對(duì)用戶的安全帶來(lái)多大的威脅。

這是百度衛(wèi)士做的偽基站地圖，偽基站上線以來(lái)近一年時(shí)間攔截到了偽基站有超過(guò)1億條，這個(gè)網(wǎng)址大家可以到百度網(wǎng)站上訪問(wèn)，這個(gè)數(shù)據(jù)我們也是分享的。

2015年，我們?cè)凇?·15”晚會(huì)上提到了風(fēng)險(xiǎn)Wi-Fi，通過(guò)百度7.4億用戶數(shù)據(jù)累計(jì)，進(jìn)入到風(fēng)險(xiǎn)Wi-Fi的用戶占比超過(guò)36%。受偽基站影響的用戶超過(guò)4%。DNS被劫持的用戶占比是2%，DNS被劫持之后，用戶訪問(wèn)網(wǎng)頁(yè)，URL會(huì)跳轉(zhuǎn)到黑客構(gòu)建的欺詐網(wǎng)站當(dāng)中。

最新研究結(jié)果顯示，Android自發(fā)布以來(lái)已經(jīng)發(fā)現(xiàn)27處安全漏洞，其中“假面”本地權(quán)限漏洞影響到2.1到4.4的Android系統(tǒng)版本。不僅來(lái)自應(yīng)用本身的安全威脅，安全系統(tǒng)本身的安全漏洞都給我們整體是非常嚴(yán)峻的安全形勢(shì)。作為從業(yè)者和行業(yè)，我們?nèi)绾伪苊饣蚰茏鲂┦裁茨兀堪俣鹊慕ㄗh是第一，提升安全意識(shí)，在企業(yè)當(dāng)中做安全宣講，安全播報(bào)，關(guān)注安全熱點(diǎn)事，安全有新的漏洞發(fā)布在內(nèi)部及時(shí)進(jìn)行通告，制定安全規(guī)范。

提高安全代碼等級(jí)。我們發(fā)現(xiàn)幾乎所有的安全應(yīng)用漏洞都可以在編寫代碼時(shí)進(jìn)行提前修復(fù)，安全團(tuán)隊(duì)里我們建議設(shè)置安全技術(shù)專員，普及基礎(chǔ)安全技術(shù)知識(shí)，及時(shí)更新安全漏洞目錄，加強(qiáng)代碼自查，把安全漏洞扼殺在研發(fā)過(guò)程當(dāng)中。

如果我們的產(chǎn)品研發(fā)完成，發(fā)布之前建議進(jìn)行安全審計(jì)，進(jìn)行靜態(tài)防護(hù)能力構(gòu)建和動(dòng)態(tài)防護(hù)能力構(gòu)建，對(duì)安全漏洞進(jìn)行掃描，做到本地?cái)?shù)據(jù)的存儲(chǔ)安全以及數(shù)據(jù)傳輸過(guò)程中的安全。產(chǎn)品發(fā)布之前我們建議使用第三方廠商應(yīng)用加固技術(shù)進(jìn)行加固，防止黑客二次反編譯和二次打包，防篡改和二次注入，比如微信大盜注入類威脅，防止黑客進(jìn)行調(diào)試。同時(shí)，這種應(yīng)用加固技術(shù)可以進(jìn)行內(nèi)存數(shù)據(jù)保護(hù)和本地術(shù)語(yǔ)保護(hù)。對(duì)不安全系統(tǒng)環(huán)境數(shù)據(jù)和不完全網(wǎng)絡(luò)環(huán)境數(shù)據(jù)進(jìn)行及時(shí)監(jiān)控，在模擬設(shè)備上進(jìn)行數(shù)據(jù)的監(jiān)控以及模擬數(shù)據(jù)泛指App運(yùn)行在不安全網(wǎng)絡(luò)環(huán)境當(dāng)中，開發(fā)者及時(shí)監(jiān)控也可以避免自己的業(yè)務(wù)邏輯被這些黑客竊取，同時(shí)監(jiān)控盜版篡改的數(shù)據(jù)，當(dāng)我們發(fā)現(xiàn)某一個(gè)下載站或下載論壇游這樣的應(yīng)用可以及時(shí)處理這個(gè)事情。

針對(duì)安全問(wèn)題和安全威脅，分享一下百度所做的事情。百度移動(dòng)安全整體解決方案，因?yàn)榘俣扔?0款應(yīng)用量獲益的產(chǎn)品，包括百度錢包，百度糯米和支付強(qiáng)相關(guān)的應(yīng)用，我們會(huì)把百度安全的經(jīng)驗(yàn)分享給開發(fā)者。在產(chǎn)品研發(fā)之前就進(jìn)行安全培訓(xùn)、技術(shù)咨詢，在開發(fā)過(guò)程中給予專業(yè)的安全開發(fā)指導(dǎo)。產(chǎn)品研發(fā)完成之后進(jìn)行安全審計(jì)，在產(chǎn)品發(fā)布之前進(jìn)行加固，通過(guò)百度移動(dòng)應(yīng)用加固技術(shù)進(jìn)行產(chǎn)品加固，達(dá)到防注入、防篡改、防盜版、防數(shù)據(jù)竊取等功能。

安全簽名，品質(zhì)認(rèn)證，應(yīng)用發(fā)布之后，通過(guò)運(yùn)營(yíng)數(shù)據(jù)，持續(xù)地監(jiān)控風(fēng)險(xiǎn)數(shù)據(jù)，進(jìn)行動(dòng)態(tài)預(yù)警，最后形成安全報(bào)告給開發(fā)者。

詳細(xì)來(lái)說(shuō)，移動(dòng)應(yīng)用安全審計(jì)系統(tǒng)，內(nèi)部代號(hào)狼煙系統(tǒng)，結(jié)合三代神經(jīng)網(wǎng)絡(luò)對(duì)App可以進(jìn)行深度掃描。在PPT和大家分享的移動(dòng)安全漏洞都是基于這些平臺(tái)進(jìn)行審計(jì)的，這些平臺(tái)也是開放給所有的移動(dòng)開發(fā)者。

更高等級(jí)的加固技術(shù)可以抵御一切攻擊手段，通過(guò)百度加固技術(shù)可以實(shí)現(xiàn)動(dòng)態(tài)加解密，內(nèi)存保護(hù)、防調(diào)試、數(shù)據(jù)加密、防注入、內(nèi)存保護(hù)。

做風(fēng)險(xiǎn)數(shù)據(jù)的監(jiān)控，對(duì)于大部分開發(fā)者來(lái)講是門檻非常高的。百度基于大數(shù)據(jù)的優(yōu)勢(shì)會(huì)把安全數(shù)據(jù)開放給開發(fā)者，包括風(fēng)險(xiǎn)數(shù)據(jù)的提示，偽基站信息、詐騙短信、詐騙號(hào)碼等防詐騙能力，反病毒能力，把安全數(shù)據(jù)分享給行業(yè)客戶。

在移動(dòng)安全，百度倡導(dǎo)的是智能化、全球化。所謂的智能化，通過(guò)大數(shù)據(jù)和人工智能去深度做病毒的檢測(cè)，全球化和大會(huì)主題也很相關(guān)，從全球化視野去做全球化的預(yù)警、感知和及時(shí)查殺，還提到開放化，百度會(huì)把安全能力開放給行業(yè)客戶，和行業(yè)客戶一起去抵御現(xiàn)在所面臨的所有安全風(fēng)險(xiǎn)，為“互聯(lián)網(wǎng)+”保駕護(hù)航，謝謝各位！