2024中文国产成人精品久久_少妇 激情毛片免费_中文字幕无码一级片在线观看_国产高清无码一v二v_99精品只有久久精品_18禁国产精品无遮挡污污污_丁香婷婷婷综合狠狠激情五月天_性欧美黑人巨大videoshd_日本色黄一区二区三区免费_黄视频网站在线观看不卡

歡迎來到合肥浪訊網(wǎng)絡科技有限公司官網(wǎng)
  咨詢服務熱線:400-099-8848

復旦研討小程序漏洞獲頂會出色論文獎,微信支付寶都中槍

發(fā)布時間:2022-08-21 文章來源:本站  瀏覽次數(shù):2416

2022年信息安全范疇四大頂會之一USENIX Security拉開帷幕。

今年又有好音訊傳來——復旦大學教授楊珉等研討員宣布的論文被評為“出色論文獎”。

USENIX Security,始于上世紀90年代初,被我國計算機學會(CCF)認定為網(wǎng)絡安全A類世界學術會議,據(jù)廣州大學統(tǒng)計,過去30年國內僅有20篇左右成果在該世界會議宣布,宣布難度極高。

作者之一楊珉教授長時間從事信息安全范疇研討,得知獲獎音訊后表示:

從13年宣布國內榜首第二篇網(wǎng)安頂會ccs的移動安全研討論文,十年白手起家,我們還要更進一步!

讓我們先來重視一下這篇獲獎論文研討了什么?

研討內容

互聯(lián)網(wǎng)年代下,每個人的手機里簡直都裝置了很多的APP,而本篇論文聚焦的便是這些APP背面的安全漏洞問題。

許多APP在開發(fā)的時候,就會把一些不那么核心的功用托付給其他平臺完結,自己專注于服務現(xiàn)有用戶和招引新用戶。

而這些被托付出去的功用也被稱為“子APP”,常見的莫過于微信小程序。


微信便是一個很典型的比如,從剛出現(xiàn)時簡直只要聊天功用,到現(xiàn)在成了一個超級巨無霸。

功用越來越齊全的背面是380萬個被托管出去的子APP,這一數(shù)量甚至超過了谷歌Play中所有安卓使用的總數(shù)。

這些子APP不僅能像一般APP相同加載第三方資源,還能夠拜訪APP提供的特權API(Application Program Interface)。

但就引出了一個重要的研討問題——究竟哪些子APP能夠拜訪這些特權API?

研討人員發(fā)現(xiàn),現(xiàn)行的APP往往選用3種身份來確定API拜訪權限——即網(wǎng)絡域、子APP的ID和功用。

然而在實踐使用中,由于這3種身份核實的辦法都存在一定問題,所以經(jīng)常會放過一些“漏網(wǎng)”的子APP,這一概念在論文中被初次界說為“身份混雜(identity confusion)”。

為了搞清這一問題,他們研討了47個流行APP基于webview的攻擊和防御機制,如抖音、微信、支付寶、今天頭條等。

結果顯現(xiàn),上述的三種身份混雜在所有47個被研討的APP中普遍存在。

更重要的是,這種混雜會導致嚴重的結果,比如某些子APP會暗中操縱用戶的財務賬戶,在手機上裝置歹意軟件等等。

別的,研討團隊還負責任地向以上APP的開發(fā)者們報告了這一結果,并協(xié)助他們進行漏洞修復。

研討團隊

本篇論文來自復旦大學和約翰斯·霍普金斯大學的研討團隊。

共同一作是復旦大學的博士生張智搏和助理研討員張磊。

張磊,復旦大學系統(tǒng)軟件與安全實驗室助理研討員,曾獲得ACMSIGSAC我國優(yōu)博獎和ACM我國優(yōu)博提名獎。

主要在移動安全、系統(tǒng)安全和區(qū)塊鏈安全范疇進行安全漏洞相關研討,包含程序代碼剖析技能、軟件自動化測驗技能以及漏洞發(fā)掘技能等。

別的,值得一提的是楊珉教授,現(xiàn)任復旦大學計算機科學技能學院科研副院長、教授、博士生導師。

在國內率先開展移動生態(tài)系統(tǒng)安全問題研討,研討方向主要包含歹意代碼檢測、漏洞剖析發(fā)掘、安全、區(qū)塊鏈安全、Web 安全和系統(tǒng)安全機制等。

上一條:根絕銀行保險等組織私自搜...

下一條:抖音聯(lián)手餓了么,和美團正...