支付寶安全實(shí)驗(yàn)室展示兩款移動(dòng)安全工具

日前，在全球頂級黑帽盛會“Blackhat Europe 2019歐洲黑帽大會”上，支付寶安全實(shí)驗(yàn)室受邀參會，并分享了兩款移動(dòng)安全工具。不僅在業(yè)界首次提出了移動(dòng)端“切面防御”的安全設(shè)計(jì)理念，同時(shí)分享了業(yè)界首個(gè)小程序平臺漏洞自動(dòng)化挖掘工具。

據(jù)了解，BlackHat被公認(rèn)為國際信息安全行業(yè)的頂級會議，每年都有來自全球的數(shù)萬名白帽黑客、安全廠商、高校學(xué)者、甚至政府部門等安全從業(yè)人員參加。

近年來，小程序作為一種有巨大商業(yè)價(jià)值的移動(dòng)端技術(shù)創(chuàng)新，在中國已有數(shù)億用戶，各大廠商都有自己的小程序平臺。雖然小程序?yàn)榇蠹規(guī)砹吮憷?，不過也帶來了新的安全挑戰(zhàn)。小程序允許移動(dòng)APP運(yùn)行外部開發(fā)者的小程序代碼，風(fēng)險(xiǎn)面更大，一些惡意小程序甚至可以對運(yùn)行小程序的APP帶來安全風(fēng)險(xiǎn)。

針對這個(gè)問題，支付寶安全實(shí)驗(yàn)室分享了M-ADSheild，一種基于“切面防御”思想的移動(dòng)APP安全框架，用于縱深防御包括小程序在內(nèi)的多種移動(dòng)安全風(fēng)險(xiǎn)。通過“安全切面”能對移動(dòng)APP的關(guān)鍵代碼和核心邏輯進(jìn)行保護(hù)，對攻擊行為進(jìn)行防控，實(shí)時(shí)保護(hù)用戶的安全。同時(shí)支付寶安全實(shí)驗(yàn)室分享了名為MPFuzzer的小程序平臺漏洞自動(dòng)化挖掘工具，通過智能產(chǎn)生大量異常小程序代碼來測試小程序平臺技術(shù)棧的安全性，可以自動(dòng)化的發(fā)現(xiàn)小程序技術(shù)棧中的漏洞，大幅提升小程序平臺的安全性。

專家介紹，此次支付寶安全實(shí)驗(yàn)室提出的移動(dòng)端“切面防御”理念，填補(bǔ)了業(yè)界移動(dòng)安全架構(gòu)縱深防御體系設(shè)計(jì)的空白，有利于行業(yè)整體安全水平的提高，保障普通消費(fèi)者和廠商企業(yè)的生態(tài)安全。