![]()
2024年1月16日,在工业和信息化部网络安全管理局、北京市通信管理局的共同关心与指导下,以及北京市通信与互联网协会的大力支持下,中国软件评测中心(工业和信息化部软件与集成电路促进中心)和工业和信息化部移动互联网App产品安全漏洞专业库,于北京成功举办了第四期移动互联网App产品安全漏洞技术沙龙。会上公示了“2023年度移动互联网APP产品安全漏洞治理十大优秀案例”,“小米智能终端产品安全风险治理”项目入选,并获颁证书。
针对移动互联网上各类APP恶意行为频发的乱象,小米安全推出了移动应用的安全漏洞自动化扫描平台,该平台依托于小米内部与外部海量的APP及漏洞数据,根据初步扫描出来的漏洞线索,针对性地结合污点数据扫描结果,最终利用动静态结合的技术,达到自动化挖掘漏洞的最终目标。全方位地保障小米移动业务资产的安全,未来将赋能内部应用商店及外部合作伙伴,全方位加强各类APP的安全能力建设。
在该平台漏洞扫描的“三步走”中,第一步漏洞线索扫描中,会得出java层的漏洞线索(Android)、native漏洞线索(iOS、Android)及flutter漏洞线索,全方位覆盖了各类操作系统及各类架构的APP应用;第二步污点数据分析则根据不同情况,分为普通扫描和深度扫描,能够输出函数、参数的完整调用链路;第三步动静态结合,首先根据前两步的静态分析作为漏洞利用链路的输入,然后动态分析验证漏洞的可行性,最大化地保证了结果的准确性和完整性。“移动应用的安全漏洞自动化扫描平台”已经在内部的应用商店、生态链应用、IOT应用、汽车应用的上架与卡点落地,针对除手机外的的IOT、平板、智能家居、汽车等各类应用场景提供了丰富的接口,并结合小米安全应急响应中心(MiSRC)的外部白帽子提交的漏洞,在小米集团内部实现了漏洞发现、处置、汇报及发布的全流程闭环。未来小米安全将基于AI大模型技术提高漏洞挖掘的效率及准确率,在公司内部及外部社会提供更好的服务。
文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NzI2OTExNA==&mid=2247516377&idx=1&sn=982fc4b418975b1f7889feb2a200b530&chksm=ea83a64cddf42f5a99194ca5e849d05f1cf9cca3746dde2f607197c3f8bedbde3bc6048cbfc5&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh