隐私安全成用户“心病”,OPPO安全团队如何破局?
随着数据安全的种种漏洞逐渐暴露无遗,用户对互联网的不信任感也日益加剧。数据隐私之痛,究竟需要用什么方式来“刮骨疗伤”?值得期待的是,越来越多的人开始行动起来了。
一、人人自危的数据时代
数据隐私的普遍“失守”,并非突如其来的漏洞,而是互联网从草莽时期逐步发展成熟必然经历的成长“阵痛”。
流量为王的时代,个人数据不仅仅是带来巨大价值的聚宝盆,更是企业竞争力的关键武器。然而,在铺天盖地的流量争夺战中,个人用户尚未形成数据保护意识,平台也缺乏监管和审核机制,共同作用下形成了极大的隐私漏洞。在严峻的安全形势之下,*部门日益加快完善相关法律法规,部分硬件厂商也主动着手构建行业安全体系,期望以安全性能提升自身竞争力。
对于在科技层面“内卷”严重的智能手机而言,除了对硬件性能继续更新升级,用户越来越关注的安全问题也成为其比拼实力与诚意的新方向,oppo等手机厂商都在安全领域做出了各自的尝试。
在刚刚结束的oppo开发者大会上,oppo开辟了安全与隐私专场,为用户展示其在保护数据安全上所做的新动作。其中最值得一提的是,oppo发布的与德勤中国联合编写的《移动应用(app)个人信息保护白皮书》,以及与益普索联合编写的《2021年-中国智能手机用户安全需求洞察报告》。这意味着oppo开始更深入地参与到个人信息保护的行业生态共建中,同行业的其他伙伴一起共同探讨个人信息保护实施的最新实践成果。
二、与日俱增的隐私屏障
对*部门而言,宏观的法律法规是数据安全的最后一道红线;对开发者来说,主观的自我约束是保护用户个人信息安全的关键方向。然而,对于中间环节的手机厂商而言,它们能在更具体、更可操的实践层面,为用户和开发者提供更安全的网络环境。随着在软硬件上的不断深耕,oppo正逐渐转型为一家生态科技型企业,这表示其将继续以技术驱动生态,与开发者一道为用户打造全新数智生活。具体而言,oppo的安全防护网主要体现在两个方面。
从内部系统来看,手机厂商首先需要构建自身安全架构体系,提供全面高效的“保护网”,保障用户权益。
工欲善其事,必先利其器。作为战略方向之一,oppo首先构建起了安全可行的个人信息保护技术与管理体系,关注并了解消费者、业务部门、三方合作方、监管部门等关联方的安全隐私需求,从组织建设、流程制度和技术工具三个维度逐步建立个人信息保护的技术与管理体系框架。以此作为保障用户安全与隐私的重要坚实基础。
其次,生态科技型企业也需要对用户需求进行全面洞察,从根本出发切实解决用户安全难题。
通过oppo和益普索的调研发现,消费者对敏感数据、敏感权限两大方面最为关注。搞清了用户的“心病”所在,oppo便可针对app进行安全能力提升,紧贴消费者的安全危机对症下药。
比如针对手机本地和云端的敏感数据,oppo的coloros系统提供了私密保险箱和应用锁的功能,手机里面的照片、视频、app都需使用独立的密码打开;在数据上传云端的过程中,oppo云服务对于敏感数据采取双层加密传输,采用硬件加密机、密钥管理服务和用户数据高等级加密的三层加密存储等,为用户云端数据安全保驾护航。
对于app的敏感行为,oppo系统能做到实时监测,通过数据图表的形式展示应用调用权限的记录,让用户更加方便、直观的看到哪些应用,在什么时候,调用了什么权限。
三、开发者的全新赋能
从外部软件来看,在数据安全越发被重视的背景下,手机系统也需要更多地考虑到第三方app安全隐私合规问题。因此,生态科技企业需要为开发者提供更安全合规的平台环境,为第三方app提供保驾护航。
具体措施层面,从开发环境来看,为开发者打造绿色app安全生态,是从源头保障用户安全的有效机制。首先,oppo搭建了端云协同、多产品联动的全方位应用安全隐私治理体系——智能护盾。通过基于大数据和ai的安全大脑能够实现从测试、上架到卸载、下架贯穿app全生命周期的安全隐私治理,打通软件商店、浏览器、手机管家等产品的安全防护能力,覆盖到用户使用app的所有场景,构建起纵深防御体系。这样一来,既能保障自研app的安全隐私合规,也为所有开发者提供了一个公平绿色的app生态环境。
oppo在去年累计安全预警近30万次;过滤刷量和其他恶意行为上千亿次,封禁恶意账号数百个;拦截攻击请求超过20亿次。整体来看,智能护盾加固了oppo手机这艘大船,让开发者行驶得更加顺畅。
值得一提的是,oppo首次对开发者开放了安全隐私云查服务、安全检测sdk和安全加固能力。
安全隐私云查服务主要包含apk安全隐私自动化检测和 apk安全隐私真机动态检测,既能减少apk因为安全隐私问题被打回的概率,也能减少app被oppo平台下架的风险,并降低因此带来的商业损失。
安全检测sdk能提供恶意应用安全检测、恶意网址检测、恶意wifi检测、虚假用户检测、可信设备检测等功能,保护开发者的应用免遭设备篡改、不良网址、恶意应用以及虚假用户等安全威胁。
安全加固能力则同时包含了从代码安全、资源文件安全、数据安全等多维度的纵深防护,以及对应用app环境进行检测和对抗的运行时保护,还有对核心代码逻辑进行加密隐藏和虚拟化保护,防止二次打包或破解核心代码逻辑。同时,安全加固能力支持apk、jar、so等多种文件格式的加固保护,进一步强化了该能力实际应用场景。
除此之外,对开发者而言,《移动应用(app)个人信息保护白皮书》、《2021年-中国智能手机用户安全需求洞察报告》两份报告无疑是开发者眼中一份全面的安全指南。oppo通过对行业、用户的深刻洞察,及业务实践中积累的相关经验,为广大开发者做出了及时且必要的引导及赋能,与开发者共筑安全生态,守护用户隐私安全。在整个智能手机行业中,可能造成数据泄露的“急流”“暗礁”都能提前被精准避免,整体行业而言,智能手机的发展渠道已经变得越来越清晰明朗。
四、影响至深的安全逻辑
与行业内以往的尝试不同的是,oppo此次的一系列动作真正做到了与用户、开发者站在一起。然而,即使有oppo等手机厂商“打头阵”,但在整个数智生态中,产业链条中的消费者、生产者、监督者都应该积极参与到个人信息保护之中,共同完成行业生态共建。
在这一方面,oppo与微软一起构筑安全隐私工程体系,共建开放互融的开发者生态;并共同打造全球领先的产品安全隐私框架及研发安全可信工程化解决方案,赋能开发者适应并拥抱全球国际化环境挑战。同时,oppo也参与了全国信息安全标准化技术委员会(tc260)、中国通信标准化协会(etsi)、欧洲电信标准化协会(ccsa)、电信终端产业协会(taf)等多个国际安全标准组织,以及与清华、浙大、西交等国内多所知名院校展开了前沿安全技术研究课题合作,为提升物联网生态安全贡献自己的力量。
总体来看,万物互融是时代趋势,安全漏洞一旦未能即时补上,就会成为阻碍科技发展的绊脚石。对生态科技企业而言,不仅要加快脚步建立当前环境下的安全网,更要着眼于未来,提前为物联网等未来技术铺平安全保障,构建起健康安全的互联网生态。当前物联网产品所面临的安全风险更为复杂,在设备端、手机终端 、通信管道和云端四个方面都各有难点,oppo已经开始提前布局,oppo从硬件安全、固件安全、系统安全等多个层次构筑安全架构。更为重要的是,当前越来越多的互联网企业都开始着力于生态布局,作为一家生态型科技公司,oppo在安全领域的强势布局,同时也是其数智实力和生态构建的重要一环。
五、结语
高科技、低生活的可怕未来,是我们万万不想见到的反乌托邦噩梦。在科技狂奔的道路上,信息安全是无论如何都不能被忽视的重要环节。在oppo等企业的带领下,一个完整的网络安全体系已经逐步成型,更安全的全新数智生活或许即将来临。