微信支付宝都中枪,复旦研究小程序漏洞获顶会杰出论文奖

2022 年信息安全领域四大顶会之一 USENIX Security 拉开帷幕。

今年又有好消息传来 —— 复旦大学教授杨珉等研究员发表的论文被评为“杰出论文奖”。

USENIX Security,始于上世纪 90 年代初,被中国计算机学会(CCF)认定为网络安全 A 类国际学术会议,据广州大学统计,过去 30 年国内仅有 20 篇左右成果在该国际会议发表,发表难度极高。

作者之一杨珉教授长期从事信息安全领域研究,得知获奖消息后表示:

从 13 年发表国内第一第二篇网安顶会 ccs 的移动安全研究论文,十年筚路蓝缕,我们还要更进一步!

让我们先来关注一下这篇获奖论文研究了什么?

研究内容

互联网时代下,每个人的手机里几乎都安装了大量的 App,而本篇论文聚焦的就是这些 App 背后的安全漏洞问题

许多 App 在开发的时候,就会把一些不那么核心的功能委托给其他平台完成,自己专注于服务现有用户和吸引新用户。而这些被委托出去的功能也被称为“子 App”,最常见的莫过于微信小程序。

微信就是一个很典型的例子,从刚出现时几乎只有聊天功能,到现在成了一个超级巨无霸。

功能越来越齐全的背后是 380 万个被托管出去的子 App,这一数量甚至超过了谷歌 Play 中所有安卓应用的总数。

这些子 App 不仅能像普通 App 一样加载第三方资源,还可以访问 App 提供的特权 API(Application Program Interface)。

但就引出了一个重要的研究问题 —— 究竟哪些子 App 可以访问这些特权 API?

研究人员发现,现行的 App 往往采用 3 种身份来确定 API 访问权限 —— 即网络域、子 App 的 ID 和功能

然而在实际应用中,由于这 3 种身份核实的方法都存在一定问题,所以经常会放过一些“漏网”的子 App,这一概念在论文中被首次定义为“身份混淆(identity confusion)”。

为了搞清这一问题,他们研究了 47 个流行 App 基于 webview 的攻击和防御机制,如抖音、微信、支付宝、今日头条等。

结果显示,上述的三种身份混淆在所有 47 个被研究的 App 中普遍存在

更重要的是,这种混淆会导致严重的后果,比如某些子 App 会暗中操纵用户的财务账户,在手机上安装恶意软件等等。

另外,研究团队还负责任地向以上 App 的开发者们报告了这一结果,并帮助他们进行漏洞修复。

研究团队

本篇论文来自复旦大学和约翰斯・霍普金斯大学的研究团队。

共同一作是复旦大学的博士生张智搏和助理研究员张磊

张磊,复旦大学系统软件与安全实验室助理研究员,曾获得 ACMSIGSAC 中国优博奖和 ACM 中国优博提名奖。

主要在移动安全、系统安全和区块链安全领域进行安全漏洞相关研究,包括程序代码分析技术、软件自动化测试技术以及漏洞挖掘技术等。

另外,值得一提的是杨珉教授,现任复旦大学计算机科学技术学院科研副院长、教授、博士生导师。

在国内率先开展移动生态系统安全问题研究,研究方向主要包括恶意代码检测、漏洞分析挖掘、安全、区块链安全、Web 安全和系统安全机制等。

参考链接:

[1]https://secsys.fudan.edu.cn/26979/list.htm

[2]https://www.usenix.org/conference/usenixsecurity22/technical-sessions

[3]http://jsj.gzhu.edu.cn/info/1027/2516.htm

[4]https://weibo.com/2280128311/M0uPPEApT?

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      文章发布时间太久,仅显示热门评论
      全部评论
      一大波评论正在路上
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享