1、AIoT 自动化评估探索和实践目录探索实践历程原因 评估自有产品和生态链产品 500+款安全流程技术架构供应链安全隐私合规需求设计 隐私定义 威胁分析 安全要求测试发布 安全测试 隐私检查 内测产品运营 日常监控 风控 应急响应 众测开发实现 安全规范 协议库 安全云服务 安全芯片GDPR安全与隐私委员会合规评估法规调研事件响应数据保护固件安全WiFi 安全协议MIoT Client SDKBLE 安全协议Zigbee 安全协议NFC 安全协议MIoT安全云服务米家认证安全芯片工厂用户第三方代码 SDK 核心元器件 云服务 安全评估密钥保护 数据保密物流 经销商模组 元器件电商 仓储用户信息

2、保护 防刷机 防售后仿冒用户信息 保护帐号安全 终端安全 近场安全安全流程技术架构供应链安全隐私合规需求设计 隐私定义 威胁分析 安全要求测试发布 安全测试 隐私检查 内测产品运营 日常监控 风控 应急响应 众测开发实现 安全规范 协议库 安全云服务 安全芯片GDPR安全与隐私委员会合规评估法规调研事件响应数据保护固件安全WiFi 安全协议MIoT Client SDKBLE 安全协议Zigbee 安全协议NFC 安全协议MIoT安全云服务米家认证安全芯片工厂用户第三方代码 SDK 核心元器件 云服务 安全评估密钥保护 数据保密物流 经销商模组 元器件电商 仓储用户信息 保护 防刷机 防售后仿

3、冒用户信息 保护帐号安全 终端安全 近场安全AIoT 安全与隐私自动化检测平台ApkScan路由引擎云端引擎FirmwareScan多国节点自动化安全评估自动化隐私评估自动化真机调试BlueEye大规模分布式不间断检测MiEye手机引擎原因历程惊喜功能 持续监测评估面 越来越多 整体产品多 迭代快 人少评估周期长 技术难度高探索-AIoT 产品典型场景探索-AIoT 产品典型场景设备云移动通讯探索-AIoT 产品威胁分析设备通讯云移动硬件 固件 系统 组件 服务 存储 权限 组件 Webview协议 加密 认证 校验探索-AIoT 产品威胁分析设备通讯云移动硬件 固件 系统 组件 服务 存储

4、权限 组件 Webview协议 加密 认证 校验隐私是否涉及 是否合规探索-自动化评估功能需求自动化隐私评估评估模式简单7*24 评估智能报告深度学习安全评估一键操作网络模拟网络带宽丢包率错包和乱序率延迟隐私策略配置隐私数据分析跨区域隐私评估网络资产分析Firmware 扫描APK 扫描Fuzz基线检查链路劫持加密流量分析流量分析漏洞扫描端口扫描资产识别区域网络模拟AI 分析实践-AIoT 产品自动化评估模型路由引擎 流量采集、分析、劫持 端口、漏洞扫描 区域代理 网络模拟 网络隧道手机引擎 流量采集、分析、劫持 漏洞检测 区域代理 网络模拟云引擎 APK、固件扫描 流量分析 区域代理 网络隧

5、道 漏洞扫描 漏洞扫描实践-AIoT 产品自动化评估模型实践-MiEye路由引擎手机引擎实践-MiEye 架构WiFi AgentAPIAIoT DeviceAIoT ScannerPhone AgentPcap AnalyticsPrivacy AnalyticsAPK scannerAIoT DevicePhoneTVAPP 1NmapNetwork CaptureNetwork EmulatorTLS HijackNetwork CaptureTLS HijackWeb ConsoleAgent ManageProxyProxy ManageTunnelAPP 2APP 3APP Fir

6、mware scannerFirmware 1 Firmware 实践-加密流量分析证书劫持TLS 还原 智能劫持植入 CATLS 还原还原协议私有算法实践-多国节点“身在曹营心在汉”实践-复杂网络环境模拟卖家秀买家秀带宽模拟延迟丢包错包Netem+TC探索-自动化评估功能列表自动化隐私评估评估模式简单7*24 评估智能报告深度学习安全评估一键操作网络模拟网络带宽丢包率错包和乱序率延迟隐私策略配置隐私数据分析跨区域隐私评估网络资产分析Firmware 扫描APK 扫描Fuzz基线检查链路劫持加密流量分析流量分析漏洞扫描端口扫描资产识别区域网络模拟AI 分析外展 Demo谢谢！APT最新发现与趋

7、势分享2019 FireEyeFireEye APT安全的全球领导者公司规模 公司 2004 年成立于美国硅谷 2013 年于 NASDAQ 上市，财务稳定 全球员工人数 3200+人 名列 Deloittes Technology Fast 500TM（500大快速成长科技公司）及财富-未来50:挑战者第四名(Fortune Future 50,Challenger)近年陆续并购，持续加强产品创新(Innovation Cycle):Top 10 of World Most Innovative Company(Fast Company,Feb 2019)Mandiant(事件响应)iSig

8、htPartner(情報)市场占有率 全球顶尖客户数超过 7100+家,遍布67个国家 客户包括福布斯全球2000强中的50%IDC/Gartner 报告显示全球市占率近四成，大幅领先其他同质厂商2019 FireEyeFireEye 核心能力(技术,情报及专家)技术判断已知，未知以及非恶意程式类别的风险从整合到防御可跨足所有的攻击方式专利私有虚拟技术专家提供安全事件响应者服务数千名的顾问以及分析师无可匹配的攻击者的经验情报每天分析50亿个程式从数千个事件中产出第一线的情报资讯数百万个网路以及端点的感应设备上千名的情报以及恶意程式专家数千个威胁组织背景资料在22个零时差攻击中找出16个2019

9、 FireEye|Private&Confidential 2019 FireEye在前线.每一天.700+威胁研究人员、平台工程师、恶意软件分析师、情报分析人员和调查人员35+国家级支持的APT组织追踪600K 1M来自70多个来源的恶意软件样本4个全球网络威胁运营中心上千小时每年应急响应24,0002018年发布的情报报告FireEye 捕捉人所未见2019 FireEye200,000 小时过去一年中在第一线投入时间2019 FireEye|Private&Confidential 2019 FireEye通过对威胁全貌的实时洞察，通过创新技术与在网络攻击前线学习到的专业知识，持续保护企

10、业免受网络威胁.FireEye 宗旨M-Trends 研究报告分享当前的网络攻击趋势2019 FireEye2019 FireEye新命名的APT 组织。2019 FireEye2019 FireEye朝鲜 APT 组织的进化-20 FireEye2019 FireEyeAPT38案例研究2019 FireEye2019 FireEye谁是目标?2019 FireEye2019 FireEye停留时间趋势按照检测源的停留时间统计320107186184 1469910178 568058.551 0500300350

11、20018ExternalOverallInternal2019 FireEye2019 FireEye2019 FireEye2019 FireEye2015年12月，2014-2015年，Mirai僵尸网络的作者对罗格斯大学进行了DDoS攻击。2016年是物联网僵尸网络的转折点。Mirai僵尸网络的主要DDoS攻击首次出现在2016年9月的安全网站上对OVH和Krebs的攻击。2016年10月，Mirai僵尸网络针对DNS提供商(DYN)，阻止用户，尤其是美国东海岸的用户-通过访问许多使用DYN进行名称解析服务的网站。2016年10月31日，利比里亚最大的电信公司之一

12、Lonestar Cell成为Mirai物联网恶意软件定制版的攻击目标，导致该国部分地区的互联网连接缓慢和完全中断;在接下来的几个月里，它遭受了616次袭击。2018年3月，Hajime僵尸网络卷土重来，对Mikrotik路由器进行了大规模扫描。IoT安全事件2019 FireEye2019 FireEye10个智能电视用户中有5个已经一个多月没有更新他们设备上的应用软件了。10个用户中有6个在其无线路由器的整个生命周期中没有执行任何固件更新。38%的智能手机和平板电脑用户没有运行固件更新55%的智能电视用户没有运行固件更新只有6/10的智能设备用户表示，他们的每个智能设备/配件都有不同的密码

13、。2/10的人随机使用多个密码。1/10的人在他们所有的智能设备上使用同一个密码70%的智能手机或平板电脑用户表示，他们上一次更改这些设备的密码是在3个多月前。此外，五成的智能电视用户表示，他们从未更改过设备密码。IoT安全现状2019 FireEye2019 FireEye60%的用户担心他们的身份可能被窃取，敏感信息可能被访问，或者他们的设备可能被恶意软件感染。每10个用户中就有7个至少有一个摄像头通过易受攻击的路由器连接到互联网上。每10个智能设备用户中就有3个担心有人会进入设备摄像头，在他们不知情的情况下被记录下来。只有11%的用户将他们的信息和文档保存在连接到他们的家庭网络的专用存储

14、解决方案中。61%的人把私人文件放在他们的个人电脑或笔记本电脑上。50%的人将个人信息储存在手机上。IoT安全性引发的担忧2019 FireEye2019 FireEye2018年FireEye公司Mandiant Red Team团队发现，罗技智能物联网家居管理系统Logitech Harmony Hub存在多个可利用漏洞，攻击者可利用这些漏洞，绕过系统限制，通过SSH方式获取到设备系统的管理权限。Logitech Harmony Hub是一款集成了软硬件的智能家居管理连接系统，攻击者可以通过漏洞控制Logitech Harmony Hub，对本地网络内的智能家居系统形成攻击威胁。由于Har

15、mony Hub支持的设备包括对智能锁、智能恒温器以及其他智能家庭设备，使用该产品的用户会面临严重安全风险。案例分析：罗技智能家居管理系统（Logitech Harmony Hub）漏洞172019 FireEye2019 FireEye涉及漏洞 不当的证书验证方式 不安全的更新过程 开发者遗留在固件镜像中的调试信息 空密码的root用户影响产品 Harmony Elite,Harmony Pro,Harmony Home Hub,Harmony Ultimate Hub,Harmony Hub,Harmony Home Control,Harmony Smart Control,Harmon

16、y Companion,Harmony Smart Keyboard,Harmony Ultimate and Ultimate Home。Logitech Harmony Hub 漏洞分析（1/5）182019 FireEye2019 FireEye前期准备 一些公开的研究表明，在Logitech Harmony Hub上的某些硬件测试点上存在一个通用异步收发传输器(UART)，我们把跳线焊接到测试点（Test pad）上，这样我们就能够使用USB串行电缆的TTL方式连接到Logitech Harmony Hub上。启动过程的初始分析显示，Harmony Hub利用U-Boot 1.1.4启

17、动，并运行为一个Linux内核 在对该测试点的启动引导过后，由于内核未配置有其它控制接口，控制端没有过多输出返回信息显示，之后，我们在U-Boot中配置了内核启动参数来观察整个启动引导过程，但是也没发现任何有用信息。此外，UART接口配置仅为传输，通过其也不能实现其它与Harmony Hub的交互。为此，我们把研究重点转向Harmony Hub内置的Linux操作系统和相关运行软件上Logitech Harmony Hub 漏洞分析（2/5）192019 FireEye2019 FireEye固件恢复和数据提取 Harmony Hub上的内置APP应用可通过蓝牙用Android或iOS应用程序

18、与其配对控制。由此，我们利用hostapd工具创建了一个模拟的无线AP接入环境，并在测试用的Android设备上安装了Burp Suite Pro证书，用以监听Harmony应用程序与Harmony Hub和外网的网络通信。一旦初始的蓝牙配对成功，Harmony APP应用就会搜索网络内的Harmony Hub设备，并通过基于API的http方式与设备通信。连接后，Harmony应用程序将两个不同的请求发送到Harmony Hub的API，这将导致Harmony Hub检查更新 Harmony Hub会向一个远端互联网的罗技服务器发送当前的固件版本信息，以检测是否存在可用的固件更新。如果有，远

19、端的罗技服务器会通过返回一个包含最新固件版本的URL信息进行响应 尽管我们使用了自签名证书来拦截监听Harmony Hub发送的HTTPS流量，但我们还是能够观察到整个网络请求响应过程，由此也表明Harmony Hub未对证书的有效性进行过验证。Logitech Harmony Hub 漏洞分析（3/5）2019 FireEye2019 FireEye获取固件进行分析 获取了固件并对其进行了分析，经过对其中几层目录的提取后发现，主要固件文件存储在镜像的squashfs文件夹中，从中可发现，整个镜像为开源的且为lzma压缩的SquashFS文件系统，这种系统多应用于嵌入式设备中。但是，供应商通常

20、会使用与最新的squashfstools版本不兼容的squashfstools旧版本。之后，我们使用firmware-mod-kit 工具包中的unsqashfs_all.sh脚本来获取unsquashfs版本信息，并进行后续的镜像信息提取 通过提取的镜像文件发现，其中存在一些Harmony Hub操作系统的详细配置信息，另外，在镜像中还遗留了各种调试信息，如未strip清除的内核模块等。在对/etc/passwd 检查后发现，root用户未设置密码，是空密码。也就是说，如果能实现dropbear SSH server的启用，那么就能轻松获取Harmony Hub的root访问权限。而如果文件

21、系统中存在file/etc/tdenetable，则在初始化期间将会启用一个dropbear SSH server实例Logitech Harmony Hub 漏洞分析（4/5）2019 FireEye2019 FireEye固件更新劫持 在初始化过程中，Harmony Hub会请求一个罗技API上的 GetJson2Uris 终端，来获取一个后续能用到的URL列表，这些URL可用于固件的更新检测或其它软件包获取。我们拦截并修改了服务器响应中的JSON对象，将GetUpdates属性指向我们自己的IP地址。与固件更新过程类似，Harmony Hub向由GetUpdates指定的终端发送了一个P

22、OST请求，其中包含了当前内部软件包的各种信息。通过指向固件更新的URL，我们下载分析了其中的压缩包文件 update.sh就是压缩包中Harmony Hub的固件更新脚本，按照前面的分析，我们更改了该脚本，创建了/etc/tdeenable文件，使得在启动引导过程中能开启SSH接口来进行连接。之后，我们在本地自己控制的Web服务器上托管了一个.pkg格式的恶意压缩包，当Harmony Hub检查固件更新，并向GetJson2URIs发起请求更新时，由于我们在响应中进行了一些改动，在其URL响应时，我们会把设置的恶意更新包替换成原始更新包，这样一来，Harmony Hub最终更新的将是我们事先

23、构造的恶意更新包。只要设备一重启，SSH接口就会自动开启，我们也能顺利地以空密码的root账户连接到设备系统中去。Logitech Harmony Hub 漏洞分析（5/5）2019 FireEye2019 FireEye随着嵌入式智能技术在生活中的广泛应用，很多像Logitech Harmony Hub的IoT物联网设备都使用了通用的处理器和系统架构，攻击者可以利用这些架构漏洞，添加置换进入一些恶意软件包，对目标设备系统形成安全威胁。FireEye已将漏洞上报给了罗技官方，他们非常重视，并迅速发布了 版本为4.15.96的修复固件。建议罗技用户及时更新固件Logitech Harmony H

24、ub 漏洞案例总结232019 FireEye2019 FireEye24IoT安全框架2019 FireEye2019 FireEye2019 FireEye2019 FireEye2019 FireEye2019 FireEye杀软规避功能更强的恶意软件 为基于GAN的黑盒测试产生敌对恶意软件样本，辅助创建恶意软件智能僵尸网络用于可扩展的攻击 蜂巢网络（Hivenets）和机器人集群（Swarmbots）的利用，可发起大规模智能化网络攻击高级鱼叉式网络钓鱼变得更聪明 神经网络经数据训练后，可构造出更加可信的社会工程攻击威胁情报失去控制 黑客使用“提升噪音地板”的技术，通过产生大量误报来让机

25、器学习模型习以为常未授权访问 SVM向量机和深度学习对验证码系统的攻破机器学习引擎中毒 用于检测恶意软件的机器学习引擎被下毒致瘫黑客对机器学习的利用2019 FireEye2019 FireEyeFireEye HelixFireEye 智能安全生态28ContextualIntelligenceAlerts/CaseManagementInvestigativeWorkbenchOrchestration&AutomationCentralManagementFireEyeNetwork SecurityFireEyeEmail SecurityFireEyeEndpoint Securit

26、y3rdPartySolutionsFireEyeThreat AnalyticsAdvancedIntelligenceExpertiseOn-Demand3rdPartyAppsManagedDefenseExpertiseThreatIntelligencePartnerServicesCommunityMarketplaceAnswersResearch ToolsIdeasMandiant ServicesStrategic AdvisoryTechnical AssessmentIncident Response2019 FireEye|Private&Confidential 2

27、019 FireEyeThanks小米 AIoT 安全新起点回顾小米 AIoT 安全保障体系安全流程需求设计 隐私定义 威胁分析 安全要求测试发布 安全测试 隐私检查 内测产品运营 日常监控 风控 应急响应 众测开发实现 安全规范 协议库 安全云服务 安全芯片技术架构固件安全WiFi 安全协议MIoT Client SDKBLE 安全协议Zigbee 安全协议NFC 安全协议MIoT安全云服务家认证安全芯供应链安全工厂用户第三方代码 SDK 核心元器件 云服务 安全评估密钥保护 数据保密物流 经销商模组 元器件电商 仓储用户信息 保护 防刷机 防售后仿冒用户信息 保护帐号安全 终端安全 近场安

28、全隐私合规GDPR安全与隐私委员会合规评估法规调研事件响应数据保护最高奖励 100万元人民币小米智能生活安全守护计划小米 IoT 平台 已接入超过 2200款 智能产品 合作伙伴超过1300家连接设备数1 同比增长 69.5%1.96亿300万拥有5个及以上小米IoT平台上的IoT设备的用户数1 同比增长 78.7%1截2019年630,不包括智能机和笔记本全球领先的消费级IoT平台如此庞大的 IoT生态产品如何保障安全？安全的边界在哪里？什么是安全？安全感 不受侵犯 数据保护的公开 透明 用户方案、工具、要求 简单可执行业务规范 标准 可监督行业什么是安全？新起点平台化专业化透明化透明化透明

29、化IoT安全规范标准6511941体系制度能力建设技术验证14领域国际认证体系安全和隐私白皮书公安部信息安全等级保护信息安全管理体系认证公有云个人信息保护认证个人信息保护认证TRUSTe 企业隐私保护认证安全平台MiEyeSecProxyHIDSMiWAF业务风控中台SkyEye平台化ApkScan路由引擎云端引擎FirmwareScan多国节点自动化安全评估自动化隐私评估自动化真机调试BlueEyeAIoT 安全与隐私自动化检测平台大规模分布式不间断检测MiEye手机引擎去密码化零信任办公络基于http/https 的应用 堡垒机准入管理服务器 交换机其他Exchange邮箱Exchange

30、 安全代理 CAS米盾智能权限手机电脑员工身份验证办公网络办公 APP扫码推送授权SecProxyVPNAIoT 安全实验室（北京）企业蓝军移动安全实验室（武汉）专业化安全运营中心透明化平台化专业化规范 标准认证 体系MiEyeSecProxyBlueEyeSkyEyeApkScanHIDSMiWAF业务风控中台企业 蓝军AIoT 安全 实验室安全流程技术架构供应链安全隐私合规需求设计 隐私定义 威胁分析 安全要求测试发布 安全测试 隐私检查 内测产品运营 日常监控 风控 应急响应 众测开发实现 安全规范 协议库 安全云服务 安全芯片GDPR安全与隐私委员会合规评估法规调研事件响应数据保护固件

31、安全WiFi 安全协议MIoT Client SDKBLE 安全协议Zigbee 安全协议NFC 安全协议MIoT安全云服务家认证安全芯工厂用户第三方代码 SDK 核心元器件 云服务 安全评估密钥保护 数据保密物流 经销商模组 元器件电商 仓储用户信息 保护 防刷机 防售后仿冒用户信息 保护帐号安全 终端安全 近场安全安全 运营中心安全隐私 白皮书携手共筑智能安全新时代ThanksThe Game of Life智能新时代?物联网到底是什么？将个人、生活数据化，程序化思想提升效率 将强大的 AI 运算能力应用到现实生活的桥梁小米 IoT 平台已接入 2200+款产品 超级细分的品类维度?智能产

32、品联动能力空质量/温度/湿度 天状况 设备（回家）光线强度 安防监控条件触发出/落 作/节假 周期性时间定时触发窗开启/关闭 铃按下 其他设备作状态 遥控器指令状态触发率/运动量 体温 位置 动作 睡眠 孔/声纹体征触发?智慧活发展进程络开关Just do it语 维联动多设备联动如果那么维联动社会、商业资源身份场景环境消费等三维联动城市级限畅想维联动个观点不代表公司NOW安全新起点?缺乏安全感的用户越来越多的场景挑战：公共区域、企业、商业、地产 低级漏洞会让用户对企业安全能力产生质疑 五花八门的后门（片上调试接口/软接口）会令用户丧失信任 缺乏长期的后半程安全支持能力 我的数据会不会被滥用、

33、泄漏?以点博面步步为营，没有信任区域（零信任？）海量产品？跟踪测试？打造高效、可靠的自动化检测机制 以智能联动场景为前提，思考单点设备的角色，以及安全连带风险 长生命周期维护与快速修复能力（后半程能力体现）将内部优秀的设计做为行业联盟形式推动前行 行业监管机构、认证体系，透明化?新目标小米 AIoT 安全实验室行业赋能安全感内部赋能以 高效、可靠 的能力输出对小米系产品进行安全赋能想用户所想、忧用户所忧。寻找理想与现实安全主义的平衡点打破行业壁垒，向整个行业、供应链输出小米的安全能力生活如戏?联动风险模拟智慧园区就如同一个放大版的家庭，它也会包含各种各样的信息传感器、智能家电。以此来程序化监测

34、与实现园区成员状态，能源管理与安全应急能力，减少人为管理成本。XX 企业智慧园区?园区中的智能设备智能识别车牌号码，判定放行权限与付费信息。智慧车库实时监控园区安全，并可以采集人脸进行打卡。智能安防摄像根据员工活动自动开关灯窗，节约电力与人力成本。自动灯窗控制智能控制水电使用量，紧急开关与节能控制。水电智控园区内的多媒体信息通告大屏系统。信息展示系统智能化识别用户餐品价格，并与公卡关联自动缴费。智慧食堂?第九艺术故事主要带玩家探索科技对社会带来的影响，呈现前卫的信息战、物联网络以及愈加被依赖的现代科技 并质问究竟是人类使用科技，抑或科技控制人类。WatchDog?突破DEMO?隐藏踪迹DEMO

35、?制造混乱DEMO游戏？现实！?The game of life智慧生活像游戏一样充满乐趣 智慧生活像游戏一样充满挑战?小米 AIoT 安全实验室宗旨无危则安，无损则全。无危无损，谓之安全。?Thanks蓝牙安全之第二战场目录蓝牙设备联动蓝牙设备联动内容块内容块内容块内容块蓝牙设备联动安全芯片厂商隐患蓝牙硬件安全蓝牙安全架构蓝牙设备联动温度 25传感器温度 25-依靠于蓝牙网关实现设备联动功能让传感器具有访问互联网能力通过蓝牙广播实现事件互联室内温度过热打开空调主人回家打开室内电器温度 25开门事件 室内传感器温度 25开门事件获取家里传感器数据蓝牙广播协议分析FrameCtrl 5020 P

36、ID aa01 Counter 01Mac(bf6a34342d58)EID 100dData len 04 Data 013a b801温度 31.4湿度 44蓝牙广播事件电量温度湿度水壶传感器数据开关门事件(加密)蓝牙广播协议分析协议参数由设备端决定蓝牙设备联动隐患温度999 开门事件温度过高,打开空调主人回家,打开照明温度 999开门事件蓝牙芯片厂商隐患芯片厂商OTAmanifest.json manifest:application:bin_file:Duck.bin,dat_file:Duck.dat,init_packet_data:application_version:67,d

37、evice_revision:65535,device_type:65535,firmware_crc16:12368,softdevice_req:100 ,dfu_version:0.5$ls xxac.extractedDuck.bin#设备固件Duck.dat#设备签名文件manifest.json#文件清单Duck.datff ff ff ff 43 00 00 00 01 00 64 00 50 30硬件版本信息 固件版本SoftDevices 列表以及芯片型号固件CRC16 校验A厂商 Legacy OTA(SDK 11.x)B厂商 OTA$hexdump-n 64-C B.bi

38、n00000000 70 51 aa ff 78 88 00 00 43 72 b3 55 31 2e 30 2e00000010 35 00 ff ff ff ff ff ff ff ff ff ff 2c d0 6d 5900000020 00 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff00000030 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff文件头 2byte 70 51标识符 2byte aa ff固件大小 4byteCRC32 4byte版本 16byte编译时间 4byte固件加密

39、1Byte保留位 芯片厂商OTA方案OTA_UUID_SERVICE=00010203-0405-0607-0809-0a0b0c0d1912SPP_DATA_OTA=00010203-0405-0607-0809-0a0b0c0d2b12C厂商 OTAD厂商 OTAWrite 0 x00ff Write 0 x01ff#OTA_START 0000 2680000000005d024b4e4c5470038800 b8a20100 ae80000000000000c40e0 bfd60200 0c6481a2090b1a40c006c006c006c006 610d.固

40、件地址(addr_index)设备固件内容对前18byte的CRC16芯片厂商OTA方案E厂商 OTA指令让设备进入DFU 模式,设备无响应几分钟指令让芯片切换工作空间,可导设备宕机断电指令让设备进入DFU 模式,设备无响应几分钟指令让设备重启芯片厂商指令蓝牙硬件安全硬件安全芯片分析绕过蓝牙芯片读取保护Jlink 读取Flash数据RBPCONF Flash空间读取保护APPROTECT禁止寄存器映射地址Reset halt#复位并中断芯片程序reg#读取寄存器step#单步执行下一条指令reg step无法通过JLink读取数据,但是可以操作芯片寄存器找到ldr指令ldr r0,r4,#20

41、 将寄存器r4+20字数据读入寄存器r0可通过这种方式循环读取四字节数据绕过蓝牙芯片读取保护 绕过蓝牙芯片读取保护Flash Data Storage(FDS)ldr 指令地址要读取数据地址循环读取四个字节找到Flash中保存的数据Flash Data Storage(FDS)蓝牙芯片蓝牙芯片FDS存储数据存储数据Data Page Tag：0 xDEAD C0DE 0 xF11E 01FE安全芯片硬件交互因为安全芯片和蓝牙芯片i2c通道没有加密,控制指令只有CRC校验,可以用Arduino读取安全芯片中的数据,能接触蓝牙芯片JLink,i2C接口情况下可绕过Flash保护获取Rand_key

42、从而能解开安全芯片中保存的加密的主密钥,根据主密钥可以运算得到蓝牙广播密钥等00#状态码,0表示正常00 0C#返回数据长度A1#加密芯片产品ID48#厂商ID00 00 00 00 3C CC 01 B8#芯片序列号E0 FD#CRC16蓝牙安全架构蓝牙芯片方案蓝牙OTA签名BlueEye蓝牙固件分析扫描附近蓝牙产品分析设备芯片型号嗅探蓝牙广播数据测试芯片控制指令 BlueEye蓝牙审计工具BlueEye蓝牙审计框架解析广播报文重放协议分析OTA签名固件模拟版本信息SDK符号表数据分析插件POC固件特征蓝牙UUID控制指令测试芯片分析蓝牙广播固件分析人工审计GATT层控制指令嗅探指令重放蓝牙

43、认证体系登录登录设备控制设备控制蓝牙广播蓝牙广播不遵守规范不遵守规范私有协议私有协议绑定无需确认绑定无需确认重复绑定重复绑定未校验控制者身份未校验控制者身份米家蓝牙设备厂商OTA升级升级芯片指令芯片指令保护绕过保护绕过蓝牙栈蓝牙栈芯片厂商广播未加密广播未加密隐私泄漏隐私泄漏蓝牙广播蓝牙认证体系登录登录设备控制设备控制蓝牙广播蓝牙广播米家签名米家签名广播未加密广播未加密隐私泄漏隐私泄漏不遵守规范不遵守规范私有协议私有协议绑定无需确认绑定无需确认重复绑定重复绑定控制未鉴权控制未鉴权米家蓝牙OTA升级升级芯片指令芯片指令保护绕过保护绕过蓝牙栈蓝牙栈芯片厂商链接层加密链接层加密MESH组网设备厂商链接

44、层加密链接层加密链接层加密链接层加密https:/ MiBeacon协议https:/无人独善其身 安全问题的行业化1988 年，Morris 蠕虫利用了 fingerd、sendmail、rexec/rsh 的漏洞2003 年，SQL Slammer 蠕虫利用了 MS SQL Server 的漏洞2017 年，WannaCry 蠕虫利用了 Windows 系统的漏洞绝大多数安全漏洞影响的是具体某个产品是否有安全问题会影响多个产品，甚至整个行业？LibPNG CVE-2004-0597 漏洞的修复过程LibPNG 修复2004-06-232004-08-04Chris Evans 向 LibP

45、NG 报告了漏洞MSN Messenger 修复2005-02-082004-08-23Juliano Rizzo 发现同样问题也存在于 MSN Messenger安全问题行业化的两大类原因由供应链引入如果存在漏洞的产品被众多下游产品所使用，就会导致这一类型的行业性安全问题 2015 年玄武实验室开始研发阿图因软件空间安全测绘系统，设计目标之一即是希望实现对供应链安全问题的全网态势感知如果一个存在安全问题的标准、行业惯例，乃至错误的文档、代码片段被广为应用，就会导致这一类型的行业性安全问题 2015 年玄武实验室开始将“发现行业性安全问题”作为研究目标之一由标准、惯例引入由供应链引入的漏洞在阿

46、图因系统中可以看到，存在 Heartbleed 漏洞的桌面软件产品至少有 291 个OpenSSL Heartbleed 漏洞影响版本分布而实际上 OpenSSL 高危漏洞并不只是 Heartbleed 一个OpenSSL 高危漏洞分布（CVSS=9）问题远不只 OpenSSLWinRAR 漏洞不仅是 WinRAR 漏洞2019 年 2 月，阿图因系统发现当月披露的 WinRAR 的多个漏洞实际上是由供应链引入，存在同样漏洞的桌面软件至少有 39 款WhatsApp 漏洞也不仅是 WhatsApp 漏洞2019 年 10 月，阿图因系统发现当月披露的 WhatsApp 远程代码执行漏洞也是由供

47、应链引入，存在同样漏洞的 移动 APP 至少有 41619 款供应链问题远比想象的更复杂标准、惯例带来的漏洞2015 年：BadBarcode1.条码阅读器所遵循的多种行业标准和惯例组合在一起导致了该安全威胁 2.利用该漏洞，可以通过扫描条码甚至发射激光来入侵系统玄武实验室从 2016 年开始和微信支付合作，推动国内条码阅读器行业解决这个问题影响过去二十年中生产的大多数条码阅读器2017 年：“应用克隆”1.移动技术的多种特点导致应用开发中存在一些通行的技术设计 2.WebView 生态中存在一些常见的错误做法，并且没有人知道后果 3.这种攻击方式可在攻击者的手机上控制被攻击者的应用账号201

48、7 年 12 月玄武实验室对国内流行的 200 个 APP 进行检测，发现其中 27 个存在可被“应用克隆”攻击的漏洞影响全网超过 10%的移动应用2018 年：“残迹重用”1.光学屏下指纹识别技术的设计原理决定了指纹残迹可被传感器获取 2.使用反射体欺骗的方式可令传感器将指纹残迹误认为是手指 3.利用该漏洞“一张纸一秒钟”即可破解光学屏下指纹识别2018 年玄武实验室联合各家手机厂商以及上游芯片厂商一起修复了这个安全问题影响当时所有厂商生产的所有光学屏下指纹传感器及相应手机2019 年：“BucketShock”1.开发者对相关技术安全特性普遍存在的错误理解导致了漏洞 2.利用该问题可读取甚

49、至改写云存储用户的所有数据2019 年 10 月玄武实验室向 CNVD（国家信息安全漏洞共享平台）报告了这个问题，并建议各云厂商推动用户自查所有云存储应用中可能超过 70%存在该问题文字、语言和代码一样是信息，可以携带漏洞“谬种流传”处理安全问题行业化的困局受影响产品动辄成千上万，乎不可能直接通知到所有相关受影响产品动辄成千上万，几乎不可能直接通知到所有相关方？通知任何受影响产品都意味着漏洞信息可能进一步扩散如不通知任何产品，则所有相关产品都处于威胁中不同角色如何应对安全问题的行业化？梳理供应链列表，对接相应安全情报源，实现对供应链引入问题的快速预警 在设计环节引入安全视角，防范出现设计出来的

50、安全漏洞建立供应链引入问题的安全情报能力 在安全产品、服务中将供应链引入的问题纳入考虑加强对共性技术、历史性技术、新技术的关注，提高对标准、惯例引入的安全问题的发现能力针对行业性安全问题的特点制定处理预案，建立快速的信息触达渠道，提高信息触达的覆盖面产品开发者安全提供者安全研究者安全管理者Thanks物联网安全与隐私保护框架安全风险落地服务合规框架小米IoT平台联网设备数超过2亿+全球最大消费级IoT平台不含机和笔记本超过500款智能 IoT 生态产品IoT 的安全与隐私风险安全风险 VS 隐私风险NISTIR 8228-Considerations for Managing Internet

51、 of Things(IoT)Cybersecurity and Privacy Risks隐私风险数据的 非授权处理安全风险系统的 非授权访问数据泄露IoT 的技术架构与攻击面端-采集终端管-交互界面云-管理后台发射器感应器网络协议用户交互API管理资产管理NISTIR 8228-Considerations for Managing Internet of Things(IoT)Cybersecurity and Privacy RisksIoT“新”安全挑战初始化/更新服务发现标识和加密API安全互操作性TPM/TEEIoT 安全的“限制”资源稀缺电池有限边界无线扩展IoT 隐私的保护目

52、标法律和监管要求安全流程安全技术IoT 数据IoT“新”隐私挑战用户“同意”困难空间“入侵性”更强儿童“特权”侵犯传统领域安全IoT 领域安全IoT 安全与隐私框架法律和监管驱动“The controller shall.implement appropriate technical and organisational measures.in an effective way.in order to meet the requirements of this Regulation and protect the rights of data subjects”“Manufacturers o

53、f smart devices will be expected to build-in tough new security measures that last the lifetime of the product”“Poorly secured devices threaten individuals online security,privacy,safety,and could be exploited as part of large-scale cyber attacks”https:/www.eugdpr.org/the-regulation.html https:/www.

54、gov.uk/government/news/new-measures-to-boost-cyber-security-in-millions-of-internet-connected-devices 标准测量认证遵从评估供应商消费者遵从|Conformity 内部驱动 自愿性 最佳实践 外部驱动 强制性 法律法规合规|Compliance信任体系|Trust FrameworkISO:The Conformity Assessment Toolbox第一条 不要重复造轮子 Dont Reinvent the Wheel标准从哪里来？NIST.IR 8288 Considerations f

55、or Managing Internet of Things(IoT)Cybersecurity and Privacy Risks NIST.IR 8259 Core Cybersecurity Feature Baseline for Securable IoT Devices ISO/IEC 27030 Guidelines for security and privacy in Internet of Things(IoT)DRAFTETSI.TS 103645 Cyber Security for Consumer Internet of Things标准从哪里来？标准从哪里来？IO

56、TSF安全与隐私框架 企业可以自我评估并贯标符合性 第三方商业机构可以使用此框架 物联网安全治理架构 开发安全与技术实现 网络及接口基础架构安全 供应链安全IOTSF 框架的内容领域（14/225）安全治理85安全技术140流程制度责任软件硬件物理1.业务流程12840002.设备硬件00031123.设备软件107014504.设备操作系统10011005.设备接口63015006.验证和授权30013107.硬件加密与密钥4102208.web用户界面21012009.移动应用00090010.隐私保护61080011.云和网络元素200291012.供应链和生产安全70010013.配置

57、安全20000014.所有权转让410100第一步 IOTSF框架原始要求IOTSF安全框架 225安全治理 85安全技术 140+=IOTSF 框架的内容第一步 IOTSF框架原始要求IOTSF 框架的内容领域（14/225）体系制度 65能力建设119技术验证41（+72）基础设施SDL安全测试隐私测试功能测试1.业务流程2422.设备硬件246123.设备软件99116134.设备操作系统1114015.设备接口3221696.验证和授权1156107.硬件加密与密钥71428.web用户界面11049.移动应用125310.隐私保护1112011.云和网络元素325213112.供应链

58、和生产安全6213.配置安全2 14.所有权转让6123第二步 转换要求：制度+能力+测试IOTSF安全框架 225体系制度 65能力建设 119技术验证 41(+72)+=IOTSF 框架的内容第二步 转换要求：制度+能力+测试IOTSF安全框架 225体系制度 65能力建设 119技术验证 41(+72)+=IOTSF 框架的内容33913153173第三步 落地为工程语言！这是标题全球众多厂商共同推荐 终端用户认可标识Who 谁认可?招聘IoT安全专家 聘请外部顾问或实验室How 如何实施?从产品设计阶段开始 Now！When 何时开始?IoTSF 安全框架如何实施？安全要素与合规级别的

59、映射关系26合规级别保密性完整性可用性Class 0BasicBasicBasicClass 1BasicMediumMediumClass 2MediumMediumHighClass 3HighMediumHighClass 4HighHighHigh 安全分级 合规分类 落地分步IoT 安全测试服务漏洞分析硬件 固件 系统 服务明文协议 加密协议流量分析隐私分析隐私数据 跨区访问自动化 持续监控小米 AIoT 安全实验室已经完成 500+IoT 产品的安全测试！IoT 隐私合规评估系统化流程能力，结合技术测试能力，协助企业快速定位隐私风险小米隐私合规能力在三年时间内支持了130+款产品

60、进入了55+个国家IOTSF 安全框架成功交付IoT 安全与隐私评估流程IOTSF 安全框架CIA 风险评估认证标识小米 实验室供应商消费者安全认同 IOTSF标志使用 小米实验室认证 评估证据可审计 公共标准框架 产业链信任传递 企业安全自评估产品上架检查IoT 安全认证标识IOTSF组织官网 https:/www.iotsecurityfoundation.org/IOTSF中文Git https:/ 让我们一起为美好保驾护航 物联网平台模糊测试：经验分享重新定义计算从台式电脑到智能手机变革世界连接、计算与沟通的方式数字化移动通信从模拟到数字30多年来一直引领移动创新变革众多行业连接万物重

61、点关注领域网络物联网汽车移动领导力、集成度和规模化，正助力打造万物智能互联的世界代码审查模糊测试对策设计审查事件响应安全研究自动化威胁建模解决硬件安全OTA协议 产品安全例如，我的工作内容包括.对物联网的网络代码进行模糊测试 审查Android系统服务 测试Wi-Fi隐私攻击 物联网平台的设计挑战 产品安全在此之前Shellphish团队成员，参加过多项比赛，包括 美国国防部高级研究计划局（DARPA）的网络挑战赛（Cyber Grand Challenge，CGC）我过去一直专注于模糊测试 从中吸取的一些经验也一直影响我现在的模糊测试方法我是加州大学圣巴巴拉分校的计算机安全组（UCSB Se

62、clab）的一员访问www.jacopo.cc获取更多信息物联网平台的模糊测试客户收到一个配置完备的嵌入式物联网平台 完整的网络栈，包括部分“高层”协议HTTP DNS/mDNS MQTT TLS/DTLS 例如：“物联网版本”的调制解调器 比如，Qualcomm MDM9206多模Wi-Fi、蓝牙 比如，Qualcomm QCA4020产品安全我们将集中关注网络协议的模糊测试 模糊测试：向程序发送不同寻常的、预期之外的数据，并观察结果 过去，仅仅是发送随机数据；现在，模糊测试是从程序中学习例如：HTTP DNS/mDNS MQTT TLS/DTLS“物联网版本”的调制解调器 比如，Qualc

63、omm MDM9206多模Wi-Fi、蓝牙 比如，Qualcomm QCA4020成果预览模糊测试引领我们为安全领域做出诸多贡献 对于物联网平台，贡献则超过一百项！令人兴奋！大约半数“完全”归功于模糊测试 其他则是“共同”检查等工作的结果 大约25%涉及内存崩溃；其余涉及信息泄露、内在逻辑 注：并非全都与内部代码有关，一些涉及共享代码库 模糊测试帮助我们审查一些外部开发的复杂代码Off-target 模糊测试模糊测试不是唯一的测试方法 许多测试在靶上和/或内部传真器上进行 一些CPU十分强大，可以直接支持模糊测试 我们称其为“靶上”模糊测试 其他的则针对低功耗用途 尤其是物联网领域Off-ta

64、rget 模糊测试因此，Off-target(脱靶)模糊测试在物联网领域十分重要 我们修改代码并让其在强大的服务器上运行 我们在内部进行相关工作，区别于正式发布的版本 实际上，我们仅仅移植感兴趣的代码那么，为什么还要孜孜不倦地修改代码？这些结果仍适用于实际的终端吗？速度建模针对模糊测试的对象来建模 合理地建模 并忽略其他数据经验分享我们今天讨论的最重要的内容针对模糊测试的对象合理建模，并忽略其他数据假设我们正在对一个简单的TCP/IP客户端进行模糊测试 我们是否对地址解析协议（ARP）、多播、以太网校验、视距等感兴趣？我们是否需要针对TCP窗口尺寸、多个ACK等进行建模？更极端的例子：我们对用

65、户的头发颜色感兴趣吗？如果我们仅针对一个简单的TCP客户端以及它是如何解析数据来进行模糊测试，那么我们可能不会对上述数据感兴趣！对于基于TCP的高层协议，上述的示例都是我们可以忽略的细节。事实上，我们应该忽略它们！针对模糊测试的对象合理建模，并忽略其他数据保持数据简单非常重要：删除一切不重要的数据针对模糊测试的对象合理建模，并忽略其他数据保持数据简单非常重要：删除一切不重要的数据针对模糊测试的对象合理建模，并忽略其他数据保持数据简单非常重要：删除一切不重要的数据 以典型的TCP/IP代码为例 开销（overhead）通常至关重要 实际测试网络所带来的不确定性针对模糊测试的对象合理建模，并忽略其

66、他数据sock=socket(AF_INET,SOCK_STREAM,0);getaddrinfo()addr=connect(sock,addr,addrlen)read(sock,)read(0/*stdin*/,)保持数据简单非常重要：删除一切不重要的数据针对模糊测试的对象合理建模，并忽略其他数据保持数据简单非常重要：删除一切不重要的数据 以典型的TCP/IP代码为例 开销（overhead）通常至关重要 实际测试网络所带来的不确定性“从模型中删除”并非意味着删除“全部”代码：我们希望能够删除开销、无关或“误导性”，以及不确定性的代码等针对模糊测试的对象合理建模，并忽略其他数据我们也可以

67、保留部分数据，但“分离出”对我们不重要的细节 例如，我们以离散包的方式获取数据 即：时间并不重要，系统性能表现可能取决于单包的数据量。换言之，我们不应该仅将所有净负荷拼接（concatenate）起来。许多用户数据报协议（UDP）或无线协议以这种方式进行。针对模糊测试的对象合理建模，并忽略其他数据我们也可以保留部分数据，但“分离出”对我们不重要的细节 例如，我们以离散包的方式获取数据 即：时间并不重要，系统性能表现可能取决于单包的数据量。换言之，我们不应该仅将所有净负荷拼接（concatenate）起来。许多用户数据报协议（UDP）或无线协议以这种方式进行。数据包ABCDE针对模糊测试的对象合

68、理建模，并忽略其他数据我们也可以保留部分数据，但“分离出”对我们不重要的细节 例如，我们以离散包的式获取数据我们仍然可以删除网络代码的细节和开销数据包ABCDE针对模糊测试的对象合理建模，并忽略其他数据我们也可以保留部分数据，但“分离出”对我们不重要的细节 例如，我们以离散包的方式获取数据我们仍然可以删除网络代码的细节和开销数据包A的大小|数据包A的内容|数据包B的大小|03|AA AA AA|01|BB 针对模糊测试的对象合理建模，并忽略其他数据 此外，重要例子还有多线程和其他基于事件的系统 与所有学习场景中一样，一致性至关重要（输入相同，结论相同）通常情况下，也存在一定的不准确性，但我认为

69、最好尽可能地将其“序列化”针对模糊测试的对象合理建模，并忽略其他数据 其他例子：校验、MAC检查、随机性、计数 需要再次强调的是，我们应该保留对模型重要的数据，其余一概删除/失效针对模糊测试的对象合理建模，并忽略其他数据 其他例子：校验、MAC检查、随机性、计数 需要再次强调的是，我们应该保留对模型重要的数据，其余一概删除/失效 更复杂的例子：删除检查，但保留内存访问针对模糊测试的对象合理建模，并忽略其他数据 其他例子：校验、MAC检查、随机性、计数 需要再次强调的是，我们应该保留对模型重要的数据，其余一概删除/失效 更复杂的例子：删除检查，但保留内存访问 去除复杂检查带来的影响，但保留检查本

70、身 防止编译器优化我们认为有用的技能 我们已经讨论了要模糊测试“什么”，我们现在来看看“如何”进行模糊测试。我们认为有用的技能在物联网平台上，内存分配是非常昂贵的 即使它们驻留在用户空间（userland），堆维护（heap maintenance）往往也非常昂贵。动态内存分配少，但内存复用却很多。AFL的libdislocator是轻量内存地址的净化工具我们认为有用的技能假设有一台状态机，或者从菜单中进行选择 进入二级菜单时，我们需要考虑再执行一遍全部函数，即使这些函数 已在一级菜单中使用过。一个简单的方法是将状态纳入覆盖率的度量。轻微调整模糊测试工具，探索新的状态。追踪内部状态我们认为有用

71、的技能假设有一台状态机，或者从菜单中进行选择 进入二级菜单时，我们需要考虑再执行一遍全部函数，即使这些函数 已在一级菜单中使用过。一个简单的方法是将状态纳入覆盖率的度量。我们确信，覆盖率的度量也是模型的一部分！追踪内部状态我们认为有的技能这一特性支持我们查找出加密协议中的极端情况，例如收到的密钥材料少于所需数量。虽然这个例子不能用来攻击，但查找出这些极端情况，能够有助于我们修正和改进部分协议逻辑的内部结构。John Regehr最近发表的博客文章编写可模糊测试的代码(”Write Fuzzable Code”)提供了有关本话题的良好建议我们可以添加任何逻辑 assert()包括内部一致性，以及

72、代码或模型中的任何假设 发现崩溃之后帮助每个人找到解决方案发现崩溃之后帮助每个人找到解决方案AFL等工具通常会通过多个输入触发相同的漏洞发现崩溃之后AFL等工具通常会通过多个输入触发相同的漏洞 十分有效的第一个步骤是最小化语料库和测试用例帮助每个人找到解决方案发现崩溃之后AFL等工具通常会通过多个输入触发相同的漏洞 十分有效的第一个步骤是最小化语料库和测试用例 临时修补程序可以理清现状，并删除重复的测试用例帮助每个人找到解决方案发现崩溃之后AFL等工具通常会通过多个输入触发相同的漏洞 十分有效的第一个步骤是最小化语料库和测试用例 临时修补程序可以理清现状，并删除重复的测试用例if(root_c

73、ause)print();exit();在模糊测试中进行多重崩溃性输入帮助每个人找到解决方案宏观角度 为什么在良好的安全战略中，充分进行模糊测试至关重要？整合相似代码之间可以共享模糊测试集 例如，在所有不同的HTTP实现之间共享HTTP测试 整合模糊测试和其他技术的卓越研究 例如，“引入”静态分析以清除障碍，与在Driller、QSYM等中一样 改进变异启发式、调度逻辑 最新的的安全性会议已纳入模糊测试论文，有时甚至被纳入会议专门环节 观察测试结果也能够帮助我们！模糊测试会自然生成怪异的输入“有效”输入看起来有效吗？模糊测试工具通常可以与其他工具很好地协作模糊测试的有效性即使你不模糊测试自己的

74、代码，你的对手也会模糊测试它们模糊测试引领我们为安全领域做出诸多贡献 对于物联网平台，贡献则超过一百项！令人兴奋！大约半数“完全”归功于模糊测试 其他则是“共同”检查等工作的结果 大约25%涉及内存崩溃；其余涉及信息泄露、内在逻辑 注：并非全都与内部代码有关，一些涉及共享代码库 模糊测试帮助我们审查一些外部开发的复杂代码它充分利用了开发者的独特优势我个人认为 好的模糊测试=好的建模 好的建模=好的迷惑 如果是你自己的代码，那么很可能 你能够比任何其他人更好地迷惑数据！如果你已经有了模糊测试，为什么仍然需要安全团队呢？如前所述，我认为好的模糊测试需要好的建模 不同于“勾选复选框”利用直觉来了解威

75、胁，以及哪些重要、哪些不重要 查找根本原因：真正解决问题:)利用人工自动化来查找棘手的真实场景 例如：在加密协议的极端情况下缺少密钥资料，接受无意义的输入这些是通过经验、学习、培训等获得的技能 若想做好这些，我认为公司应投资创立优秀的安全团队（并培养具有良好安全意识的优秀开发者）以上就是我的分享！希望大家喜欢我的演讲，希望这些内容对您有帮助！我还想特别感谢：小米邀请我参加此次活动 产品安全团队及加州大学圣巴巴拉分校（UCSB）的现同事和前同事 AFL、Radamsa、libfuzzer、syzkaller 等模糊测试工具的优秀作者 发表有关模糊测试和自动化漏洞发现的优秀论文的研究者们 提交高质

76、量报告的人士还经常获邀参加 漏洞奖励计划（Vulnerability Rewards Program）如果你向我们发送一些参考信息（CVE ID，即带有来自其他计划的公共引用的ID）以证明你已向其他计划提交漏洞报告，那么你可以在未事先提交报告的情况下申请获邀。请通过 product- 联系我们，获取邀请函。 当然，也十分欢迎你加入我们的团队，与我们一起并肩作战!product-security- 加入我们：https:/ in these materials is an offer to sell any of the components or devices referenced here

77、in.2018-2019 Qualcomm Technologies,Inc.and/or its affiliated companies.All Rights Reserved.Qualcomm Snapdragon,Qualcomm Embedded platform,Qualcomm Modem,Snapdragon Mobile PC Platform,and Qualcomm Network IoT Connectivity are products of Qualcomm Technologies,Inc.and/or its subsidiaries.Qualcomm is a

78、 trademark of Qualcomm Incorporated,registered in the United States and other countries.Other products and brand names may be trademarks or registered trademarks of their respective owners.References in this presentation to“Qualcomm”may mean Qualcomm Incorporated,Qualcomm Technologies,Inc.,and/or ot

79、her subsidiaries or business units within the Qualcomm corporate structure,as applicable.Qualcomm Incorporated includes Qualcomms licensing business,QTL,and the vast majority of its patent portfolio.Qualcomm Technologies,Inc.,a wholly-owned subsidiary of Qualcomm Incorporated,operates,along with its

80、 subsidiaries,substantially all of Qualcomms engineering,research and development functions,and substantially all of its product and services businesses,including its semiconductor business,QCT.顺势而为：互联网与物联网用户隐私保护铺天盖地的“窃取用户隐私”指责明枪还是暗箭中国第一位首席隐私官的诞生360用户隐私保护大事记发布360用户隐私保护白皮书1.0版任命谭晓生为360首席隐私官发布360用户隐私保

81、护白皮书2.0版发布360用户隐私保护白皮书3.0版设立用户隐私审核部门2010.102012.3.152012.42014.62018.2整理所有海外业务线，记录归档了所有海外业务数据处理流程，增加了与数据处理者及数据控制者的合同，更新用户隐私保护条款2018.5建立用户隐私保护组织 设置g-privacy-approval 邮件组 隐私审批工作透明化 隐私审核工作与信息安全部、系统运维部联动决策层管理层执行层CPO用户隐私审核部各业务部数据接口人业务接口法务法务、各业务部负责人、信息安全部定保护策略 参加IAPP组织 研读美国等国家的用户个人信息保护法律法规走在政府法律法规前面Before

82、 CollectingCollectingAfter Collecting产品设计遵循“四不三必须原则”，体现:最小够用 公开透明 选择同意 用户参与 隐私政策 安全传输:去标识化 加密算法 https .数据分级分类管理 访问控制 数据销毁 数据共享 紧急预案处理机制 90%上技术手段 所有Web服务全流量听包 程序解析所有通信模型：200,000种 对通信模型分类 人工审查每个通信模型 对编码、加密通信进行白盒分析 对可疑的100种通信模型人工分析 对20种确实存在问题的通信进行整改 6个月时间做公关宣传：说人话 不该看的不看 不该传的不传 不该存的不存 不该用的不用四不 一切行为必须明示

83、、尊重用户的知情权和选择权 必须经过用户许可 必须对收集的用户隐私信息负责三必须应对GDPR1、聘请专业的律师团队2、存储本地化3、产品功能改进，甚至改变商业模式4、用户权利 5、设立DPOGDPR挑战快速迭代中的失控 产品需求、设计、实现、运维快速迭代，评审难以有效进行 管理开销 数据分级、分类扫描工具 产品、销售、运营团队可能是公司的更强势部门 竞争对手的压力，劣币驱逐良币 老板意识不足 依法合规外部力量作用，严刑峻法通过数据获竞争优势的诱惑同有关部门进行良好沟通，满足合规要求合规要求顺势而为，促成飞跃 抓住每一个机会，顺势而为 小步快跑，促成飞跃蟒蛇战略做业务部门的伙伴 没有业务的发展，一切都是空谈 帮业务部门找到满足业务需求的，合理合法的技术与法律手段 风险可控情况下的（不靠谱性）验证红脸与黑脸的配合 够强硬，够“轴”的用户隐私审核专员 会有变通的首席隐私官 默契的沟通与配合做好危机公关的准备 真出事儿了 竞争对手抹黑 网民的误解 牢记，我们是在和人打交道！平衡的艺术 数据是国家战略资源，是企业的核心竞争力，Data is Business 个人信息保护关系到了每个公民自身的安全、甚至关系到国家安全PRIVACYDATAThanks