近日,在全球頂級黑帽盛會“Blackhat Europe 2019歐洲黑帽大會”上,支付寶安全實驗室受邀參會,並分享了兩款移動安全工具。不僅在業界首次提出了移動端“切面防禦”的安全設計理念,同時分享了業界首個小程序平臺漏洞自動化挖掘工具。
據瞭解,BlackHat被公認爲國際信息安全行業的頂級會議,每年都有來自全球的數萬名白帽***、安全廠商、高校學者、甚至政府部門等安全從業人員參加。
近年來,小程序作爲一種有巨大商業價值的移動端技術創新,在中國已有數億用戶,各大廠商都有自己的小程序平臺。雖然小程序爲大家帶來了便利,不過也帶來了新的安全挑戰。小程序允許移動APP運行外部開發者的小程序代碼,風險面更大,一些惡意小程序甚至可以對運行小程序的APP帶來安全風險。
針對這個問題,支付寶安全實驗室分享了名爲MPFuzzer的小程序平臺漏洞自動化挖掘工具,通過智能產生大量異常小程序代碼來測試小程序平臺技術棧的安全性,可以自動化的發現小程序技術棧中的漏洞,大幅提升小程序平臺的安全性。同時,支付寶安全實驗室分享了M-ADSheild,一種基於“切面防禦”思想的移動APP安全框架,用於縱深防禦包括小程序在內的多種移動安全風險。通過“安全切面”能對移動APP的關鍵代碼和核心邏輯進行保護,對***行爲進行防控,實時保護用戶的安全。
專家介紹,此次支付寶安全實驗室提出的移動端“切面防禦”理念,填補了業界移動安全架構縱深防禦體系設計的空白,有利於行業整體安全水平的提高,保障普通消費者和廠商企業的生態安全。