小米入选2023年移动互联网APP产品安全漏洞治理十大优秀案例

2024年1月16日，在工业和信息化部网络安全管理局、北京市通信管理局的共同关心与指导下，以及北京市通信与互联网协会的大力支持下，中国软件评测中心（工业和信息化部软件与集成电路促进中心）和工业和信息化部移动互联网App产品安全漏洞专业库，于北京成功举办了第四期移动互联网App产品安全漏洞技术沙龙。

会上公示了“2023年度移动互联网APP产品安全漏洞治理十大优秀案例”，“小米智能终端产品安全风险治理”项目入选，并获颁证书。

第四期移动互联网APP产品安全漏洞技术沙龙

针对移动互联网上各类APP恶意行为频发的乱象，小米安全推出了移动应用的安全漏洞自动化扫描平台，该平台依托于小米内部与外部海量的APP及漏洞数据，根据初步扫描出来的漏洞线索，针对性地结合污点数据扫描结果，最终利用动静态结合的技术，达到自动化挖掘漏洞的最终目标。全方位地保障小米移动业务资产的安全，未来将赋能内部应用商店及外部合作伙伴，全方位加强各类APP的安全能力建设。

小米智能终端产品安全隐私风险治理

在该平台漏洞扫描的“三步走”中，第一步漏洞线索扫描中，会得出java层的漏洞线索（Android）、native漏洞线索（iOS、Android）及flutter漏洞线索，全方位覆盖了各类操作系统及各类架构的APP应用；第二步污点数据分析则根据不同情况，分为普通扫描和深度扫描，能够输出函数、参数的完整调用链路；第三步动静态结合，首先根据前两步的静态分析作为漏洞利用链路的输入，然后动态分析验证漏洞的可行性，最大化地保证了结果的准确性和完整性。

小米智能终端安全实验室-陈旦

“移动应用的安全漏洞自动化扫描平台”已经在内部的应用商店、生态链应用、IOT应用、汽车应用的上架与卡点落地，针对除手机外的的IOT、平板、智能家居、汽车等各类应用场景提供了丰富的接口，并结合小米安全应急响应中心（MiSRC）的外部白帽子提交的漏洞，在小米集团内部实现了漏洞发现、处置、汇报及发布的全流程闭环。

未来小米安全将基于AI大模型技术提高漏洞挖掘的效率及准确率，在公司内部及外部社会提供更好的服务。