字节跳动无恒实验室首次亮相Black Hat 2021亚洲黑帽大会:全生命周期管理的隐私保护框架 – 作者:王杰欧阳诸葛

5月4日至7日,Black Hat Aisa 2021(亚洲黑帽大会)如期在线上举行。Black Hat大会被公认为世界信息安全行业的最高盛会,被誉为黑客世界的”奥斯卡”,也是最具技术性的信息安全会议。每年分别在美国、欧洲、亚洲各举办一次安全信息技术峰会,自诞生以来每年都吸引了全球众多企业、政府机构和顶级安全厂商、研究组织的关注和参与。会议聚焦于先进安全研究、发展和趋势,并以其强技术性、权威性、客观性引领未来安全思想和技术的走向。

在本届Black Hat Asia 2021大会上,字节跳动无恒实验室资深安全专家张清和昆士兰大学老师白光冬带来《Do Apps Respect Your Privacy as They Claim?》的议题,该议题着眼于分析目前APP在保护用户隐私方面的一些问题,主要是提出了一个全生命周期管理的隐私保护框架,并且使用了这个框架下的一些工具对于目前应用市场前1500的APP在保护用户隐私做的不足的地方做了一些自动化分析和统计。

图片[1]-字节跳动无恒实验室首次亮相Black Hat 2021亚洲黑帽大会:全生命周期管理的隐私保护框架 – 作者:王杰欧阳诸葛-安全小百科

最近几年来,全球政府越来越重视用户隐私的问题,美国、欧盟以及中国政府都制定了相关的法律,很多国际大型公司因为在用户隐私安全方面出现问题而遭到监管部门的处罚。与此同时,普通用户对于APP收集和使用用户隐私数据的问题也越来越关心。相对于普通的APP安全漏洞来讲,用户对于数据隐私问题更加敏感,也更容易感知到发生了泄露问题。因此,有关于数据隐私的问题更容易被外界媒体披露,从而引发大规模的社会讨论。APP 用户隐私数据安全问题真的如厂商声明的那样,做到了足够的保护了吗?如果依然存在不符合监管要求的隐私问题,那到底是企业的安全测试不到位,还是企业有意为之呢?

为了更好的保护用户隐私、协助企业进行自我检查、以及为监督机构监督核查提供更完整全面的理论依据和技术支持,无恒实验室在大量APP隐私安全检查的经验基础上,将错综复杂的隐私安全检查方法整理成一个体系化的APP合规和隐私安全检查框架。该框架的主要优势是将隐私合规的审计问题提升到了一个全局的高度。从逻辑和技术测试两个维度,将合规隐私审计的场景分成了两类。逻辑上的分类能让人们更好的理解这些问题发生的场景。技术测试手段的分类则方便于指导安全审计人员更好和更快的去做全面的检查,避免造成大而不全的情况。

图片[2]-字节跳动无恒实验室首次亮相Black Hat 2021亚洲黑帽大会:全生命周期管理的隐私保护框架 – 作者:王杰欧阳诸葛-安全小百科

框架从APP用户隐私数据知情权、同意权、遗忘权、用户数据可携带权、数据本地化和跨境传输等几个方面入手,整合形成一套全面的检查框架,全面覆盖当前APP隐私安全的各个维度,用以判断APP是否侵犯用户隐私。为了帮助本框架能够顺利实施,无恒实验室根据不同场景制作了一些自动化测试工具协助测试,并对应用市场Top 1000的APP进行了检测,发现了众多涉及用户隐私的安全问题。对此,无恒实验室会基于收集的问题做进行分析统计,提交给厂商并给出安全建议,希望能够引起厂商的重视,大家一起提升用户隐私安全防护能力。

开源预告:

本次张清同学所提及的全生命周期管理的隐私保护框架也进入了开源的工作筹备,从事安全隐私合规相关的同学也可以后续关注无恒实验室的动态。希望通过开源的方式和大家分享我们踩过的坑,向优秀同行学习,回馈行业。

获取演讲PPT:

关注“字节跳动安全中心”微信公众号,回复“无恒实验室”获取本次演讲PPT

关于无恒实验室:

无恒实验室是由字节跳动资深安全研究人员组成的专业攻防研究实验室,实验室成员具备极强的实战攻防能力,通过渗透入侵演练,业务蓝军演练,漏洞挖掘、黑产打击、漏洞应急、APT应急等手段,不断提升公司基础安全、数据安全、业务安全水位,极力降低安全事件对业务和公司的影响程度。同时为公司和各大产品提供定期的渗透测试服务,产出渗透测试报告。全力确保字节跳动用户在使用旗下产品与服务时的安全。

无恒实验室多个岗位待招,欢迎联系投递:[email protected]

来源:freebuf.com 2021-05-20 17:27:10 by: 王杰欧阳诸葛

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论