近日,在全球頂級黑帽盛會“Blackhat Europe 2019歐洲黑帽大會”上,支付寶安全實驗室受邀參會,并分享了兩款移動安全工具。不僅在業界首次提出了移動端“切面防禦”的安全設計理念,同時分享了業界首個小程式平台漏洞自動化挖掘工具。
據了解,BlackHat被公認為國際資訊安全行業的頂級會議,每年都有來自全球的數萬名白帽黑客、安全廠商、高校學者、甚至政府部門等安全從業人員參加。
近年來,小程式作為一種有巨大商業價值的移動端技術創新,在中國已有數億使用者,各大廠商都有自己的小程式平台。雖然小程式為大家帶來了便利,不過也帶來了新的安全挑戰。小程式允許移動APP運作外部開發者的小程式代碼,風險面更大,一些惡意小程式甚至可以對運作小程式的APP帶來安全風險。
針對這個問題,支付寶安全實驗室分享了名為MPFuzzer的小程式平台漏洞自動化挖掘工具,通過智能産生大量異常小程式代碼來測試小程式平台技術棧的安全性,可以自動化的發現小程式技術棧中的漏洞,大幅提升小程式平台的安全性。同時,支付寶安全實驗室分享了M-ADSheild,一種基于“切面防禦”思想的移動APP安全架構,用于縱深防禦包括小程式在内的多種移動安全風險。通過“安全切面”能對移動APP的關鍵代碼和核心邏輯進行保護,對攻擊行為進行防控,實時保護使用者的安全。
專家介紹,此次支付寶安全實驗室提出的移動端“切面防禦”理念,填補了業界移動安全架構縱深防禦體系設計的空白,有利于行業整體安全水準的提高,保障普通消費者和廠商企業的生态安全。