Android Safe谈

记录了我最近对Android以及通用安全领域保护博弈的反思。

Android Safe

安全

来自PC端的漏洞攻防经验

最强保护-驱动级虚拟化

信息隐藏-与各行业知识

棋局
数学
物理
心理学

领域知识-攻防博弈

高能物理
数学研判
电路知识
信息论-降低熵

防止通用破解-反通用方案-一篇文章能解决的事情

多变方案

基于行为的综合研判-反作弊

动态下发

善后措施

针对强大敌手的措施

安全更新滞后于工作所造成的漏洞的措施-来自外挂行业的经验

千里之堤溃于蚁穴-脆弱性分析

引入门锁评估-单独破解不低于N小时,通用破解不低于M小时

一个事实是这样:程序必然会被破解,却抱着永久的想法,
导致每项延缓措施效用不明,实施顺序各异。

反行为分析

沙箱中,一切都是透明的。

云时代

  • 即时动态更新。动态安全。
  • 没有外挂的游戏-坦克世界,迁移上云。本地安全根本不可靠,那么我们就转移矛盾迁移上云。

通用云应用容器

服务在线上网页密码输入不安全,
本地应用安全一体性难做。

  • 解决之道:云应用虚拟机。

远程上传操作信息(点击坐标),及时返回结果。它就是一个显示加速器。(漂亮的页面)
安全转移成了云安全。
操作限制为了网络接口。

最原始的情况:
远程虚拟机,最安全的反制:即使攻击者看着源码,也无懈可击。

极大的缩小了本地安全工作范围。

  • 与网络延时的斗争

真正的安全:服务器级虚拟机。适合银行安全-反。


绝对安全

我听说你需要绝对安全?XX云为您服务

我们提供“绝对安全”

推送技术,连接技术由服务器完成:降低企业成本

对用户企业实施工程的困难进行顺序评估

企业服务器<–>腾讯云安全虚拟Docker集群<–>用户移动设备应用容器<–>用户
障碍:延时。
解决之道:云网络加速技术
临时方案:过场动画显示方案
预加载技术

遗留问题:

点按-刷单问题。可不可能会被刷单?刷单的行为原先就存在。
现在的好处是:
- 我们现在有新的标量去度量刷单行为
- 我们将安全问题集中化了
防刷只防刷。

能不能成为部分服务?

也就是商家的部分服务调用我们的服务来加固。
这很难从根上保护商家:恶意攻击者还是能接触到逻辑。

而用户的接口是不设防的。

  • 现在的:
    不设防的网络接口<->用户APP

  • 新的:用户的接口实在是不能控制啊
    不设防(基于信任的)的网络接口<->云端虚拟APP<->设防可控网络接口<->用户点触信息和其他设备信息

注意问题

真正的解决了金融行业的难题吗?


Android Safe 谈 安全中的 维度攻防 与 用户利益

在黑客的机器中,他的攻击措施是高维度的,

复杂的攻防,复杂到不能兼容一些机型的攻防,也无法做到平维
我们不要成为棋子。

  • 同维度-高维度防护
    服务器可控接口,黑盒逻辑。

用户利益

用户 需要更简洁的方案,用户遭遇的第一问题通常不是安全。
非侵入式方案的优越性。

以火灾安全举例:

  • 烧煤。
  • 冻饿。
  • 疾病。
  • 拥挤。

各种。。。。
解决 温饱>大量连接问题>推送更新问题>绝对的安全问题


Android Safe Nvidia远程服务

计划中Android的远程渲染有点像Nvidia的远程服务。

将指令流发送给远程。
回传视频流或者更简单的组件变动信息。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值