11月29日，OPPO技术开放日第六期在成都1906创意工厂-A11举行。本期活动以"应用与数据安全防护"为主题，聚焦密钥、恶意行为检测等移动应用背后的安全技术，分享OPPO在安全领域的最新技术成果与行业解决方案，推动安全生态的建设。

OPPO云密码本背后的安全技术：端云协同的安全密钥技术

前不久的2020 OPPO开发者大会，OPPO正式发布ColorOS 11。全新的ColorOS 11系统搭载OPPO端云协同的安全密钥技术。OPPO基于端云协同安全密钥技术为支撑，实现了用户密码的安全托管和安全同步。

OPPO端云协同的安全密钥技术以安全的跨平台自动同步、应用间互相隔离的独立密钥体系、OPPO无法解密和攻击者无法窥探为目标，构建安全的密钥管理方案，进而实现保护用户数据的目的。

OPPO通过AES密钥白盒解决密钥安全问题

现如今，数据及信息安全已逐渐演变为密钥安全。如果密钥不安全，加密便形同虚设。目前，业内密钥安全需求主要包括核心技术保护、终端数据安全、防止密钥窃取和数据传输安全四个层面，AES密钥白盒的出现在一定程度上解决了密钥的安全问题。

白盒将密钥扩展并融入到了加密运算中，使得密钥在整个加密过程中不再明文出现，从而达到隐藏和保护的目的。白盒的实现方式主要有三种，分别是查找表技术、插入扰乱项和多变量密码。即使有了白盒的保护，密钥也并不绝对安全，白盒也面临着多种多样的攻击。

检测移动恶意应用与提升恶意行为检测能力

随着移动恶意应用的恶意行为和攻击方式愈加复杂，加固保护愈来愈多样化。当前，恶意行为的静态代码分析面临着程序化难度大、人力投入大、成本变高等难点，OPPO为应对以上难点并弥补静态检测的缺点，引入了动态检测的方法，从而更精准高效地检测出存在恶意行为的应用。

动态分析检测方法是对应用行为进行判断和检测。基于恶意行为的动态分析检测方法，应用很多时候都需要调用系统的API来执行各种功能。动态分析检测可以通过审查应用对系统API的调用序列和各API的调用参数以及API调用的背景环境，用明确的逻辑判断该应用是否有执行恶意行为。这样能够帮助开发者和应用平台对恶意扣费、恶意传播、资费消耗、间谍监控、隐私窃取等行为进行有效的检测，将恶意行为暴露，保护用户的隐私安全和财产安全。

OPPO在SDK安全质量保障方面的实践方案和移动应用安全实践

随着移动互联网的高速发展，移动应用中引入第三方SDK的数量剧增，而三方SDK往往会成为移动应用整体的安全短板。OPPO基于三方SDK安全检测的工作实践结合SDL实施的经验总结，落地了一套移动三方SDK安全质量保障实践方案。

针对三方SDK主要包括隐私合规检测、漏洞检测和恶意行为检测三个重点检测内容，OPPO采用静态污点分析技术, 将敏感数据标记为污点(Source点)，然后通过跟踪和污点数据相关的信息的流向， 检测在关键的程序点（Sink点）是否会影响某些关键的程序操作，从而识别程序是否存在安全风险。

通过本期OPPO技术开放日，OPPO安全团队为到场的安全领域从业者和高校学生，详细解读了应用与数据安全防护，以及OPPO安全技术建设和相关成果。OPPO安全热切期待更多安全专家能够加入，一同为保护用户数据安全而努力，推动安全生态的建设。