在依托海量数据变现盈利的互联网浪潮下,越来越多的公司和应用,因为涉及侵犯或泄露用户数据隐私陷入司法困境。如何确保应用安全与数据隐私俨然已成为开发者们构建优质安全的应用时需要考虑的关键问题。在9月11日的华为开发者大会HMS安全与隐私分论坛上,华为消费者云服务云安全工程 部资深安全技术专家姚辉就华为HMS Core Safety Detect和FIDO服务如何帮助开发者快速构建安全应用做了分享。
HMS Core中的Safety Detect与FIDO服务
姚辉首先简单介绍了HMS Core能力架构体系。HMS Core 5.0全面开放了华为七大领域服务能力,其中安全(Security)包括Safety Detect和FIDO。
华为Safety Detect(安全检测服务)当前提供系统完整性检测、虚假用户、应用安全、恶意URL和恶意WiFi检测五项安全检测特性,可快速判断设备系统是否root、解锁、提权等,从而评估是否存在限制应用的行为,保障用户个人隐私和资金安全。
而华为线上快速身份验证服务FIDO(Fast Identify Online)为应用提供安全可信的本地生物特征认证和安全便捷的线上快速身份验证。例如在手机应用内进行支付时,用户可以通过指纹或面容识别的方式进行验证,或同时输入支付密码和验证指纹或面容来确保支付安全,避免盗刷。
HMS安全能力加速应用创新体验
姚辉介绍道,从HMS Core 4.0到5.0一年多时间来,安全运营通过分析接入海内外App集成场景、调研开发者接入体验发现,金融类应用接入占比是最大的,有高度安全诉求的App集中在保证应用登录安全、交易安全、操作安全以及保证应用的运营更加高效。
金融垂直行业安全案例
杭银直销成为首家接入华为HMS服务的直销银行。其接入到的HMS Core4.0的Safety Detect(安全检测服务),可以帮助检测设备运行环境是否安全,定位钓鱼欺诈和有害应用,有效防止个人信息泄露。
另一款接入了Safety Detect的金融类应用,俄罗斯Koshelek App,是俄罗斯领先的电子卡包应用之一,接入Safety Detect可以帮助检测到用户设备、服务器等受到的攻击,例如Safety Detect在使用信用卡输入CVC时检测系统环境安全。
又例如俄罗斯主要银行之一Raifeisen,旗下应用Raifeisen Online Russia集成了FIDO快速指纹登录后,用户登录应用时可以无需每次都重复输入密码,只需指纹即可高效、安全、便捷地登录账户。
其他行业典型安全案例
除了金融行业,姚辉还介绍了其他行业中的典型应用比如娱乐影音类。集成Safety Detect后,应用内容版权得以保护;当用户注册、观看和下载离线播放视屏时,应用可以检测应用的运行系统环境是否安全,并确保用户在内容提供商认可的设备上完成流媒体和视频播放。
姚辉接着介绍了在很多应用中存在的虚假用户注册和“薅羊毛”的现象,为了防范这一现象,可以在应用中接入Safety Detect的虚假用户检测功能。例如,以香港知名的收费软件为例,其集成了虚假应用检测功能的,在注册、登录、领取政府公共补贴等环节都可检测出用户真实性。
HMS Core生态安全能力更开放
最后,姚辉总结了目前华为安全kit生态接入已覆盖金融理财、购物比价、影音娱乐等人们日常工作生活息息相关的应用。随着智慧场景的延伸,用户将需要随时随地在多个设备终端上访问和使用应用,相信未来会有更多安全kit接入的成功优质案例,将在广大开发者和华为消费者业务终端设备安全从业人员的共同努力下产生。