亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

尊敬的各位來賓，各位領(lǐng)導(dǎo)，大家上午好！很高興和大家一起分享百度移動安全部在移動支付領(lǐng)域所做的一些研究。

首先，看一組數(shù)據(jù)，截至2012年12月份，中國手機(jī)網(wǎng)民已經(jīng)達(dá)到5.52億，其中使用移動支付的用戶達(dá)到2.67億，占總體手機(jī)用戶接近一半，比2013年1.26億增加了112%。中國手機(jī)銀行交易規(guī)模32.8萬億，較2013年增長157.1%。第三方移動支付交易規(guī)模已經(jīng)達(dá)到近6萬億，比2013年增加了391%。這些數(shù)據(jù)無論是手機(jī)銀行還是第三方支付都在快速發(fā)展。今天在這里我和大家分享移動安全支付所面臨的問題。

在近期百度移動安全團(tuán)隊對四個品類62個應(yīng)用進(jìn)行了分析，包含了手機(jī)銀行、電商、第三方支付以及保險理財四個品類，我們找了62款最熱門的應(yīng)用。在中國尤其Android用戶下載應(yīng)用要通過不同的渠道，不同的市場，包括論壇下載。我們通過不同的下載渠道里累計抽樣了5758個樣本進(jìn)行分析，發(fā)現(xiàn)形勢很嚴(yán)峻，中間超過100個應(yīng)用下載的樣本是非正版的，就是盜版的應(yīng)用。其中某個電商的盜版應(yīng)用多達(dá)97個，就是它一半左右的下載渠道下載的都是非正版的東西。手機(jī)網(wǎng)銀也是重災(zāi)區(qū)。19家銀行當(dāng)中，某一個銀行非正版渠道就多達(dá)30個。

這些盜版應(yīng)用一方面來自仿冒的應(yīng)用，一方面來自篡改的應(yīng)用，無論是仿冒還是篡改的應(yīng)用，如果用戶下載時都有可能導(dǎo)致他的數(shù)據(jù)丟失、系統(tǒng)破壞、用戶個人信息泄露，甚至導(dǎo)致個人財產(chǎn)的損失。所謂的仿冒應(yīng)用是黑客或黑色產(chǎn)業(yè)鏈的作者他去完全模仿一個正版的應(yīng)用，包括應(yīng)用的名稱、應(yīng)用的ICON，組織頁面的布局和顏色，看上去和正版應(yīng)用類似，但后面的后臺和邏輯是自己建立的。篡改應(yīng)用，黑色產(chǎn)業(yè)鏈開發(fā)者去下載一個正版的應(yīng)用進(jìn)行解剖，植入自己惡意代碼重新打包進(jìn)行發(fā)布，整體盜版應(yīng)用會給用戶帶來極大的困擾。

仿冒應(yīng)用，仿冒某手機(jī)客戶端手機(jī)網(wǎng)銀頁面，里面有個明顯的廣告條“新年大抽獎”活動，用戶點(diǎn)擊廣告條之后會誘導(dǎo)到填寫個人信息頁面，包括用戶的帳號、密碼、手機(jī)號之外，用戶填寫完成，提交之后讓用戶會有抽獎的活動，用戶很高興，中了一個20元的話費(fèi)。之后會有彈窗提示分享到好友，這樣用戶看到會大規(guī)模通過微信、微博、朋友圈、郵箱傳播，這樣帶來病毒爆發(fā)式的增長。百度安全捕獲到這款應(yīng)用病毒樣本已經(jīng)監(jiān)測有幾千人下載了這個病毒，如果不用查殺統(tǒng)計去預(yù)測，48小時內(nèi)這樣的病毒感染人群會超過100萬人次。

篡改類應(yīng)用，我們捕獲到支付寶大盜這樣的應(yīng)用，它通過把惡意代碼打包到正版支付寶當(dāng)中，啟動應(yīng)用之后會自動上傳用戶手機(jī)號碼、短信等，遠(yuǎn)程自動屏蔽來自支付寶、淘寶的短信，并且通過釣魚頁面對虛擬電話，去騙取用戶姓名、手機(jī)號、身份證號等各種信息，然后又誘騙用戶修改用戶名、支付密碼，進(jìn)而竊取用戶支付寶資金。由于它可以屏蔽來自于官方客戶的短信，所以，這一切都在用戶不知情的情況下去做的。

正版應(yīng)用本身會有哪些安全問題。

在今年5月份，百度移動安全專家團(tuán)隊對17款支付類應(yīng)用，42個在線交易類應(yīng)用進(jìn)行安全審計，審計的結(jié)果是不容樂觀的，所有被檢測的樣本均不同程度存在這樣那樣的安全問題，尤其漏洞方面，個別手機(jī)網(wǎng)銀客戶端多達(dá)580多的安全漏洞，其中高危漏洞多達(dá)43個，某一款理財軟件漏洞個數(shù)超過1200個，某一款非常知名的電商軟件漏洞數(shù)量最多能達(dá)到79個。

正版應(yīng)用由于研發(fā)過程中，開發(fā)人員往往趕工期，開發(fā)邏輯在應(yīng)用實(shí)現(xiàn)上，趕快把產(chǎn)品發(fā)布到市場上，對安全性沒有做更多的考量。由于正版應(yīng)用研發(fā)過程中，代碼本身所帶來的漏洞，它能給大家?guī)砟男┪：δ兀渴紫仁蔷芙^服務(wù)大家非常熟悉；遠(yuǎn)程威脅，他拿到客戶客戶端，他通過客戶客戶端發(fā)送遠(yuǎn)程代碼執(zhí)行達(dá)到某些黑客特殊的目的；權(quán)限能力的泄露，每一款應(yīng)用都或多或少構(gòu)建了特殊的能力，一旦這個能力權(quán)限泄露的話，相當(dāng)于他的業(yè)務(wù)邏輯向黑客開了一扇門，比如這款應(yīng)用有讀取本地應(yīng)用數(shù)據(jù)庫的能力等等，這種能力如果得不到很好保護(hù)的話，也是非常危險的；信息泄露，大家都很清楚，用戶個人帳戶和密碼有泄露的風(fēng)險。

中間人的攻擊，大會開場之前我看到視頻里播放了心臟出血漏洞的危害，移動互聯(lián)網(wǎng)尤其大量移動應(yīng)用它的漏洞也有可能導(dǎo)致中間人攻擊。手機(jī)病毒數(shù)據(jù)，2014年全國Android平臺新增病毒軟件數(shù)量達(dá)到91.7萬個，較2013年增長4%。數(shù)量不大，但用戶感染量增幅是非常大的，2014年的Q3比2013年同期感染了達(dá)到了7倍，由此可見它的病毒危害和病毒傳統(tǒng)能力比之前有顯著的提升。

今年6月份百度安全捕獲到最新的，我們內(nèi)部叫GOST病毒（網(wǎng)銀神偷）。某一款手機(jī)網(wǎng)銀感染了網(wǎng)銀神偷病毒之后，用戶正常登錄網(wǎng)銀，如果用戶向親朋好友發(fā)起一筆轉(zhuǎn)帳，很正常地按照一步步流程填寫帳戶以及要轉(zhuǎn)帳的金額，得到的轉(zhuǎn)帳確認(rèn)頁面，比如給張三轉(zhuǎn)帳確認(rèn)等信息都沒有任何問題，把驗證碼提交之后，看到網(wǎng)銀轉(zhuǎn)帳成功的頁面，這一切看上去都是非常正常的。但很詭異的現(xiàn)象發(fā)生了，張三并收到這1000元，這筆資金莫名其妙轉(zhuǎn)到黑客帳戶里，類似這樣的病毒未來會越來越地發(fā)生。看上去形勢是非常嚴(yán)峻的。

分享另一類病毒（微信大盜），這個病毒的原理，通過它的主進(jìn)程注入到LiveShow（音），它檢測用戶的聊天記錄、好友關(guān)系、通訊錄等等信息，通過發(fā)送廣播的形式，主惡意進(jìn)程把用戶的隱私上傳到服務(wù)器端，通過掌握了用戶所有的隱私數(shù)據(jù)之后再進(jìn)行頂點(diǎn)一對一的欺詐，這個欺詐成功率是相當(dāng)高的。不可回避的是欺詐短信，百度數(shù)據(jù)顯示，2014年全國垃圾短信數(shù)量為454億條，換句話說我們每人平均每月要收到9條垃圾短信，其中3%是詐騙短信，詐騙短信當(dāng)中有超過48%的詐騙短信是和支付類相關(guān)的，就是和銀行、保險理財相關(guān)的。通常一條短信用戶收到是“尊敬的某某銀行客戶您好，您的銀行卡在某某ATM機(jī)上取款3000元，如果您有疑問請撥打某某電話”，在座安全專家收到這樣的短信都知道是詐騙短信。但黑色產(chǎn)業(yè)鏈他們發(fā)這樣的短信成本非常低，一發(fā)就成千上萬條，一定會有小白用戶收到這樣的短信就撥打了這樣的電話，繼而進(jìn)入詐騙環(huán)節(jié)。詐騙環(huán)節(jié)當(dāng)中最高的是偽基站的短信偽基站一般是模仿正常的某網(wǎng)站的官方客服電話或某網(wǎng)銀的客服電話。這是百度協(xié)助公安部破獲的偽基站犯罪團(tuán)伙的作案工具，可以看到作案工具非常精巧，平常在放A4紙的小盒子里，通常這樣的作案工具放在拉桿箱或背包里，在人群密集，比如大會周圍游蕩，或者開著車在繁華的車道上進(jìn)行游蕩，方圓2.5公里的用戶就接入到這個偽基站當(dāng)中。S代的偽基站，可以做到，用戶可以做到撥打電話和上網(wǎng)，可見這樣的偽基站對用戶的安全帶來多大的威脅。

這是百度衛(wèi)士做的偽基站地圖，偽基站上線以來近一年時間攔截到了偽基站有超過1億條，這個網(wǎng)址大家可以到百度網(wǎng)站上訪問，這個數(shù)據(jù)我們也是分享的。

2015年，我們在“3·15”晚會上提到了風(fēng)險Wi-Fi，通過百度7.4億用戶數(shù)據(jù)累計，進(jìn)入到風(fēng)險Wi-Fi的用戶占比超過36%。受偽基站影響的用戶超過4%。DNS被劫持的用戶占比是2%，DNS被劫持之后，用戶訪問網(wǎng)頁，URL會跳轉(zhuǎn)到黑客構(gòu)建的欺詐網(wǎng)站當(dāng)中。

最新研究結(jié)果顯示，Android自發(fā)布以來已經(jīng)發(fā)現(xiàn)27處安全漏洞，其中“假面”本地權(quán)限漏洞影響到2.1到4.4的Android系統(tǒng)版本。不僅來自應(yīng)用本身的安全威脅，安全系統(tǒng)本身的安全漏洞都給我們整體是非常嚴(yán)峻的安全形勢。作為從業(yè)者和行業(yè)，我們?nèi)绾伪苊饣蚰茏鲂┦裁茨兀堪俣鹊慕ㄗh是第一，提升安全意識，在企業(yè)當(dāng)中做安全宣講，安全播報，關(guān)注安全熱點(diǎn)事，安全有新的漏洞發(fā)布在內(nèi)部及時進(jìn)行通告，制定安全規(guī)范。

提高安全代碼等級。我們發(fā)現(xiàn)幾乎所有的安全應(yīng)用漏洞都可以在編寫代碼時進(jìn)行提前修復(fù)，安全團(tuán)隊里我們建議設(shè)置安全技術(shù)專員，普及基礎(chǔ)安全技術(shù)知識，及時更新安全漏洞目錄，加強(qiáng)代碼自查，把安全漏洞扼殺在研發(fā)過程當(dāng)中。

如果我們的產(chǎn)品研發(fā)完成，發(fā)布之前建議進(jìn)行安全審計，進(jìn)行靜態(tài)防護(hù)能力構(gòu)建和動態(tài)防護(hù)能力構(gòu)建，對安全漏洞進(jìn)行掃描，做到本地數(shù)據(jù)的存儲安全以及數(shù)據(jù)傳輸過程中的安全。產(chǎn)品發(fā)布之前我們建議使用第三方廠商應(yīng)用加固技術(shù)進(jìn)行加固，防止黑客二次反編譯和二次打包，防篡改和二次注入，比如微信大盜注入類威脅，防止黑客進(jìn)行調(diào)試。同時，這種應(yīng)用加固技術(shù)可以進(jìn)行內(nèi)存數(shù)據(jù)保護(hù)和本地術(shù)語保護(hù)。對不安全系統(tǒng)環(huán)境數(shù)據(jù)和不完全網(wǎng)絡(luò)環(huán)境數(shù)據(jù)進(jìn)行及時監(jiān)控，在模擬設(shè)備上進(jìn)行數(shù)據(jù)的監(jiān)控以及模擬數(shù)據(jù)泛指App運(yùn)行在不安全網(wǎng)絡(luò)環(huán)境當(dāng)中，開發(fā)者及時監(jiān)控也可以避免自己的業(yè)務(wù)邏輯被這些黑客竊取，同時監(jiān)控盜版篡改的數(shù)據(jù)，當(dāng)我們發(fā)現(xiàn)某一個下載站或下載論壇游這樣的應(yīng)用可以及時處理這個事情。

針對安全問題和安全威脅，分享一下百度所做的事情。百度移動安全整體解決方案，因為百度有20款應(yīng)用量獲益的產(chǎn)品，包括百度錢包，百度糯米和支付強(qiáng)相關(guān)的應(yīng)用，我們會把百度安全的經(jīng)驗分享給開發(fā)者。在產(chǎn)品研發(fā)之前就進(jìn)行安全培訓(xùn)、技術(shù)咨詢，在開發(fā)過程中給予專業(yè)的安全開發(fā)指導(dǎo)。產(chǎn)品研發(fā)完成之后進(jìn)行安全審計，在產(chǎn)品發(fā)布之前進(jìn)行加固，通過百度移動應(yīng)用加固技術(shù)進(jìn)行產(chǎn)品加固，達(dá)到防注入、防篡改、防盜版、防數(shù)據(jù)竊取等功能。

安全簽名，品質(zhì)認(rèn)證，應(yīng)用發(fā)布之后，通過運(yùn)營數(shù)據(jù)，持續(xù)地監(jiān)控風(fēng)險數(shù)據(jù)，進(jìn)行動態(tài)預(yù)警，最后形成安全報告給開發(fā)者。

詳細(xì)來說，移動應(yīng)用安全審計系統(tǒng)，內(nèi)部代號狼煙系統(tǒng)，結(jié)合三代神經(jīng)網(wǎng)絡(luò)對App可以進(jìn)行深度掃描。在PPT和大家分享的移動安全漏洞都是基于這些平臺進(jìn)行審計的，這些平臺也是開放給所有的移動開發(fā)者。

更高等級的加固技術(shù)可以抵御一切攻擊手段，通過百度加固技術(shù)可以實(shí)現(xiàn)動態(tài)加解密，內(nèi)存保護(hù)、防調(diào)試、數(shù)據(jù)加密、防注入、內(nèi)存保護(hù)。

做風(fēng)險數(shù)據(jù)的監(jiān)控，對于大部分開發(fā)者來講是門檻非常高的。百度基于大數(shù)據(jù)的優(yōu)勢會把安全數(shù)據(jù)開放給開發(fā)者，包括風(fēng)險數(shù)據(jù)的提示，偽基站信息、詐騙短信、詐騙號碼等防詐騙能力，反病毒能力，把安全數(shù)據(jù)分享給行業(yè)客戶。

在移動安全，百度倡導(dǎo)的是智能化、全球化。所謂的智能化，通過大數(shù)據(jù)和人工智能去深度做病毒的檢測，全球化和大會主題也很相關(guān)，從全球化視野去做全球化的預(yù)警、感知和及時查殺，還提到開放化，百度會把安全能力開放給行業(yè)客戶，和行業(yè)客戶一起去抵御現(xiàn)在所面臨的所有安全風(fēng)險，為“互聯(lián)網(wǎng)+”保駕護(hù)航，謝謝各位！