世界顶级安全大会RSA 2014 亚洲安全峰会于近日在新加坡举行，来自全球的包括百度、EMC、 Qualys、 PaloAlto Networks、Cisco、中国电信等在内的数百位国际知名安全企业及安全专家参与了此次大会，并针对近年来发展迅速的云安全、数据安全、移动安全等问题，进行了深入交流，分享最新技术成果。

百度安全实验室资深研究员周荣誉受邀出席大会，并在会上发表了《Android应用劫持的攻与防》的主题演讲。面对Android平台很多正规应用被劫持的技术难题，周荣誉向与会的同行和展示了百度创新的Safezygote应用反注入解决方案，取得了热烈反响。

（RSA 2014亚洲安全峰会大会现场）

（百度安全实验室资深研究员周荣誉发表主题演讲）

APP劫持技术——手机隐私窃取的幕后黑手

“APP劫持”是近年来在移动端兴起的一种非法窃私技术手段，不少恶意开发者通过在正规的应用中植入恶意程序，并使用hook（挂钩）等技术篡改内存，监视并截获系统或进程中的各种事件消息，将信息上传至黑客服务器，从而窃取用户社交、支付、银行账户密码等隐私信息。例如百度安全实验室最新发现的病毒“聊天剽窃手”，便是将第三方进程注入微信、QQ等应用中，通过hook技术窃取用户聊天内容及联系人信息，带来严重的安全威胁。

据百度《2014年第二季度移动安全报告》显示，和上一季度相比，仅国内隐私窃取类恶意软件的比例上涨达到了17.9%，上涨幅度达到了57%。其中“APP劫持”技术的运用，已经成为隐私窃取类恶意软件发展的一大趋势。

百度移动安全专家周荣誉指出，“APP劫持”极易发生在root后的手机中。“由于手机root后，手机中的App可以被其他App访问，从而加大App劫持的概率。一旦这种技术被运用到支付类App里，就会导致用户网银账号密码丢失，造成不可估量的财产损失。因此，保护App在运行时不被其他应用注入和劫持成为了移动安全的重要挑战。”

周荣誉在RSA现场展示了Facebook、招商银行 APP遭遇劫持的情况。结果显示，遭遇劫持的Facebook应用在用户输入账号和密码之后，信息迅速被截获并且上传到远程服务器。招商银行网银APP遭到的劫持更加危险，非法应用伪造网银账户总览界面，利用webview组件进行“网页钓鱼”，诱骗用户输入银行卡取款密码等账户信息，然后上传到远程服务器。由于webview钓鱼操作隐秘，难以被用户发现，带来的损失难以预估。

Facebook应用登陆信息遭劫持

招行网银WebView钓鱼界面

创建可信App运行环境——百度推SafeZygote创新方案

行业内的人都知道，“App劫持”一直是安全界关注的焦点，因此在RSA大会上百度推出的解决方案Safe Zygote让现场的安全大佬们也眼前一亮。

据介绍，百度Safe Zygote创新方案旨在创建一个安全运行环境，用来保证你的App运行在一个干净、可信的安全环境里，不被注入，不被劫持，保障隐私信息的安全。周荣誉表示：“应对APP劫持，我们必须保护App在运行时不被其他应用注入和劫持，包括在root环境下。我们从创建可信的原始Zygote进程、保护可信的Zygote、让App从干净的Zygote进程调用三个方面，利用反调试、反注入、应用加固的技术来防止正版应用受到第三方程序的干扰和注入，创造一个安全、可信的APP运行环境。”

Safe Zygote创新方案，吸引了国内外众多安全厂商高层的关注，同时也受到国际安全专家的好评。美国EMC公司的首席安全分析师Sakthivel Rajendran就表示，百度提出的App安全运行环境的思路非常巧妙，很轻便地解决了App注入和hook等劫持问题，并且能有效地结合企业安全终端的应用场景。除此以外，本次大会的东道主新加坡知名APP加固公司也对百度这一技术深感兴趣。

据了解，除了最新提出的Safe Zygote创新方案以外，在应用保护方面，百度移动安全产品百度手机卫士还针对支付类应用推出“4+1安全支付解决方案”，囊括了反恶意、反调试、反注入、反篡改，应用加固五大技术举措，目前这一技术已经成功应用在了百度支付类产品百度钱包上，保护钱包的安全。而未来这一技术还将开放给第三方支付类企业以及银行等机构，以保护用户的“手机钱包”。在国内，百度手机卫士的保护范围已经覆盖招商银行、支付宝、银联、中国银行、财付通、中国建设银行、恒丰银行、广发银行等22家支付、网银类应用。