《移动生态安全探索与实践》-韩紫东.pdf

移动生态安全探索与实践 移动生态安全探索与实践 移动生态安全探索与实践 ——主讲人 韩紫东 腾讯安全移动安全实验室 韩紫东 高级安全研究员 研究移动安全与IoT安全领域，专注安全生态相关研究 GeekPwn2018黑客屋挑战赛/GeekPwn 2019 手机破解挑战赛 Defcon China 2019 《Bridge Attack》相关议题分享 HITB 2018 CommSec 《Who Hijacked My Smart Home: One URL to Hack ALL IoT Devices 》安全议题分享 针对移动应用和物联网生态安全的攻击 Bridge Attack 针对应用抽象Bridge的攻击手法，目标移动应用和IoT生态 漏洞利用成本低，远程攻击效果大，危害广 Defcon China2019 Bridge Attack 分享 厂商的开发生态化与安全壁垒 静默安装应用漏洞 多款智能手机存在远程任意静默安装APP的高危漏洞 厂商生态化的安全壁垒：后门与漏洞模糊的界限 GeekPwn2019 破解智能手机 物联网安全生态问题 ”黑客屋“攻击场景 IoT生态场景多样，窃取用户隐私危害性高 对生态安全破坏的持久性更大 GeekPwn 2018 ”黑客屋“攻击场景模拟 移动开发与安全新趋势 移动应用生态安全 物联网与移动安全 移动生态安全总结与展望 捍 卫 信 任 2 0 1 9 京 麒 国 际 安 全 峰 会 移动开发与安全新趋势 2019移动应用开发发展趋势 原生 Web App Hybrid App RN应用 Flutter 性能，体验最优 H5应用 混合模式移 跨平台 跨平台 开发，发布 开发发布成 动应用 IOS IOS/Android/ 成本最高 本最低 Web App Android Web 缺点： 和原生应用 极速构建漂亮 Web 性能体验差 两者之间 的原生应用 厂商生态化尝试与实践 – 快应用联盟 Ø 连接厂商硬件能力，布局场景化分发 Ø 响应Android原生Instant App/PWA概念以及微信/支付宝小程序 厂商生态化尝试与实践 -- 快传联盟 Ø 打破厂商跨品牌传输壁垒 Ø 响应Android原生Fast Share概念，本土生态化尝试 2019Android系统严重漏洞情况 Ø 2019年相比2018年漏洞数量急剧下降 Ø 2019年严重