原標(biāo)題:復(fù)旦研究小程序漏洞獲頂會(huì)杰出論文獎(jiǎng)����,微信支付寶都中槍
2022年信息安全領(lǐng)域四大頂會(huì)之一USENIX Security拉開(kāi)帷幕�。
今年又有好消息傳來(lái)——復(fù)旦大學(xué)教授楊珉等研究員發(fā)表的論文被評(píng)為“杰出論文獎(jiǎng)”。
(資料圖)
USENIX Security����,始于上世紀(jì)90年代初,被中國(guó)計(jì)算機(jī)學(xué)會(huì)(CCF)認(rèn)定為網(wǎng)絡(luò)安全A類(lèi)國(guó)際學(xué)術(shù)會(huì)議����,據(jù)廣州大學(xué)統(tǒng)計(jì),過(guò)去30年國(guó)內(nèi)僅有20篇左右成果在該國(guó)際會(huì)議發(fā)表����,發(fā)表難度極高。
作者之一楊珉教授長(zhǎng)期從事信息安全領(lǐng)域研究�,得知獲獎(jiǎng)消息后表示:
從13年發(fā)表國(guó)內(nèi)第一第二篇網(wǎng)安頂會(huì)ccs的移動(dòng)安全研究論文,十年篳路藍(lán)縷���,我們還要更進(jìn)一步�!
讓我們先來(lái)關(guān)注一下這篇獲獎(jiǎng)?wù)撐难芯苛耸裁矗?/p>
研究?jī)?nèi)容
互聯(lián)網(wǎng)時(shí)代下�,每個(gè)人的手機(jī)里幾乎都安裝了大量的APP�����,而本篇論文聚焦的就是這些APP背后的安全漏洞問(wèn)題�。
許多APP在開(kāi)發(fā)的時(shí)候,就會(huì)把一些不那么核心的功能委托給其他平臺(tái)完成,自己專(zhuān)注于服務(wù)現(xiàn)有用戶(hù)和吸引新用戶(hù)�。
而這些被委托出去的功能也被稱(chēng)為“子APP”,最常見(jiàn)的莫過(guò)于微信小程序����。
微信就是一個(gè)很典型的例子,從剛出現(xiàn)時(shí)幾乎只有聊天功能���,到現(xiàn)在成了一個(gè)超級(jí)巨無(wú)霸�����。
功能越來(lái)越齊全的背后是380萬(wàn)個(gè)被托管出去的子APP����,這一數(shù)量甚至超過(guò)了谷歌Play中所有安卓應(yīng)用的總數(shù)�����。
這些子APP不僅能像普通APP一樣加載第三方資源����,還可以訪問(wèn)APP提供的特權(quán)API(Application Program Interface)。
但就引出了一個(gè)重要的研究問(wèn)題——究竟哪些子APP可以訪問(wèn)這些特權(quán)API�?
研究人員發(fā)現(xiàn),現(xiàn)行的APP往往采用3種身份來(lái)確定API訪問(wèn)權(quán)限——即網(wǎng)絡(luò)域、子APP的ID和功能���。
然而在實(shí)際應(yīng)用中����,由于這3種身份核實(shí)的方法都存在一定問(wèn)題����,所以經(jīng)常會(huì)放過(guò)一些“漏網(wǎng)”的子APP,這一概念在論文中被首次定義為“身份混淆(identity confusion)”����。
為了搞清這一問(wèn)題,他們研究了47個(gè)流行APP基于webview的攻擊和防御機(jī)制��,如抖音����、微信、支付寶����、今日頭條等��。
結(jié)果顯示,上述的三種身份混淆在所有47個(gè)被研究的APP中普遍存在�����。
更重要的是��,這種混淆會(huì)導(dǎo)致嚴(yán)重的后果�,比如某些子APP會(huì)暗中操縱用戶(hù)的財(cái)務(wù)賬戶(hù),在手機(jī)上安裝惡意軟件等等�����。
另外����,研究團(tuán)隊(duì)還負(fù)責(zé)任地向以上APP的開(kāi)發(fā)者們報(bào)告了這一結(jié)果,并幫助他們進(jìn)行漏洞修復(fù)�����。
研究團(tuán)隊(duì)
本篇論文來(lái)自復(fù)旦大學(xué)和約翰斯·霍普金斯大學(xué)的研究團(tuán)隊(duì)����。
共同一作是復(fù)旦大學(xué)的博士生張智搏和助理研究員張磊。
張磊�,復(fù)旦大學(xué)系統(tǒng)軟件與安全實(shí)驗(yàn)室助理研究員�����,曾獲得ACMSIGSAC中國(guó)優(yōu)博獎(jiǎng)和ACM中國(guó)優(yōu)博提名獎(jiǎng)�����。
主要在移動(dòng)安全�����、系統(tǒng)安全和區(qū)塊鏈安全領(lǐng)域進(jìn)行安全漏洞相關(guān)研究�����,包括程序代碼分析技術(shù)�����、軟件自動(dòng)化測(cè)試技術(shù)以及漏洞挖掘技術(shù)等�。
另外��,值得一提的是楊珉教授�����,現(xiàn)任復(fù)旦大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院科研副院長(zhǎng)、教授�、博士生導(dǎo)師��。
在國(guó)內(nèi)率先開(kāi)展移動(dòng)生態(tài)系統(tǒng)安全問(wèn)題研究���,研究方向主要包括惡意代碼檢測(cè)�����、漏洞分析挖掘�����、安全��、區(qū)塊鏈安全����、Web 安全和系統(tǒng)安全機(jī)制等����。
參考鏈接:
[1]https://secsys.fudan.edu.cn/26979/list.htm
[2]https://www.usenix.org/conference/usenixsecurity22/technical-sessions
[3]http://jsj.gzhu.edu.cn/info/1027/2516.htm
[4]https://weibo.com/2280128311/M0uPPEApT?
— 完—
關(guān)鍵詞:
復(fù)旦大學(xué)
營(yíng)業(yè)執(zhí)照公示信息