復(fù)旦研討小程序縫隙獲頂會杰出論文獎,微信支付寶都中槍 |
發(fā)布時間:2022-09-13 文章來源:本站 瀏覽次數(shù):2436 |
2022年信息安全范疇四大頂會之一USENIX Security拉開帷幕。 今年又有好消息傳來——復(fù)旦大學教授楊珉等研討員宣布的論文被評為“杰出論文獎”。 USENIX Security,始于上世紀90年代初,被中國計算機學會(CCF)認定為網(wǎng)絡(luò)安全A類國際學術(shù)會議,據(jù)廣州大學統(tǒng)計,曩昔30年國內(nèi)僅有20篇左右成果在該國際會議宣布,宣布難度極高。 作者之一楊珉教授長期從事信息安全范疇研討,得知獲獎消息后表明: 從13年宣布國內(nèi)榜首第二篇網(wǎng)安頂會ccs的移動安全研討論文,十年篳路藍縷,我們還要更進一步! 讓我們先來重視一下這篇獲獎?wù)撐难杏懥耸裁矗?/p> 研討內(nèi)容互聯(lián)網(wǎng)年代下,每個人的手機里簡直都裝置了大量的APP,而本篇論文聚集的便是這些APP背面的安全縫隙問題。 許多APP在開發(fā)的時分,就會把一些不那么核心的功用委托給其他平臺完成,自己專心于服務(wù)現(xiàn)有用戶和吸引新用戶。 而這些被委托出去的功用也被稱為“子APP”,常見的莫過于微信小程序。 微信便是一個很典型的比方,從剛出現(xiàn)時簡直只要聊天功用,到現(xiàn)在成了一個超級巨無霸。 功用越來越完全的背面是380萬個被保管出去的子APP,這一數(shù)量乃至超過了谷歌Play中所有安卓使用的總數(shù)。 這些子APP不僅能像一般APP相同加載第三方資源,還能夠拜訪APP供給的特權(quán)API(Application Program Interface)。 但就引出了一個重要的研討問題——究竟哪些子APP能夠拜訪這些特權(quán)API? 研討人員發(fā)現(xiàn),現(xiàn)行的APP往往采用3種身份來確定API拜訪權(quán)限——即網(wǎng)絡(luò)域、子APP的ID和功用。 然而在實踐使用中,由于這3種身份核實的方法都存在必定問題,所以經(jīng)常會放過一些“漏網(wǎng)”的子APP,這一概念在論文中被初次定義為“身份混雜(identity confusion)”。 為了搞清這一問題,他們研討了47個盛行APP根據(jù)webview的進犯和防御機制,如抖音、微信、支付寶、今天頭條等。 成果顯現(xiàn),上述的三種身份混雜在所有47個被研討的APP中普遍存在。 更重要的是,這種混雜會導致嚴重的結(jié)果,比方某些子APP會暗中操作用戶的財政賬戶,在手機上裝置惡意軟件等等。 別的,研討團隊還負責任地向以上APP的開發(fā)者們報告了這一成果,并協(xié)助他們進行縫隙修正。 研討團隊本篇論文來自復(fù)旦大學和約翰斯·霍普金斯大學的研討團隊。 一起一作是復(fù)旦大學的博士生張智搏和助理研討員張磊。 張磊,復(fù)旦大學系統(tǒng)軟件與安全實驗室助理研討員,曾獲得ACMSIGSAC中國優(yōu)博獎和ACM中國優(yōu)博提名獎。 主要在移動安全、系統(tǒng)安全和區(qū)塊鏈安全范疇進行安全縫隙相關(guān)研討,包括程序代碼分析技能、軟件自動化測驗技能以及縫隙挖掘技能等。 別的,值得一提的是楊珉教授,現(xiàn)任復(fù)旦大學計算機科學技能學院科研副院長、教授、博士生導師。 在國內(nèi)率先開展移動生態(tài)系統(tǒng)安全問題研討,研討方向主要包括惡意代碼檢測、縫隙分析挖掘、安全、區(qū)塊鏈安全、Web 安全和系統(tǒng)安全機制等。 |
|