近日,在全球顶级黑帽盛会“Blackhat Europe 2019欧洲黑帽大会”上,支付宝安全实验室受邀参会,并分享了两款移动安全工具。不仅在业界首次提出了移动端“切面防御”的安全设计理念,同时分享了业界首个小程序平台漏洞自动化挖掘工具。
据了解,BlackHat被公认为国际信息安全行业的顶级会议,每年都有来自全球的数万名白帽黑客、安全厂商、高校学者、甚至政府部门等安全从业人员参加。
近年来,小程序作为一种有巨大商业价值的移动端技术创新,在中国已有数亿用户,各大厂商都有自己的小程序平台。虽然小程序为大家带来了便利,不过也带来了新的安全挑战。小程序允许移动APP运行外部开发者的小程序代码,风险面更大,一些恶意小程序甚至可以对运行小程序的APP带来安全风险。
针对这个问题,支付宝安全实验室分享了名为MPFuzzer的小程序平台漏洞自动化挖掘工具,通过智能产生大量异常小程序代码来测试小程序平台技术栈的安全性,可以自动化的发现小程序技术栈中的漏洞,大幅提升小程序平台的安全性。同时,支付宝安全实验室分享了M-ADSheild,一种基于“切面防御”思想的移动APP安全框架,用于纵深防御包括小程序在内的多种移动安全风险。通过“安全切面”能对移动APP的关键代码和核心逻辑进行保护,对攻击行为进行防控,实时保护用户的安全。
专家介绍,此次支付宝安全实验室提出的移动端“切面防御”理念,填补了业界移动安全架构纵深防御体系设计的空白,有利于行业整体安全水平的提高,保障普通消费者和厂商企业的生态安全。