復旦研究小程式漏洞獲頂會傑出論文獎,微信支付寶都中槍

語言: CN / TW / HK

小程式“陷阱”被發現?

羿閣 發自 凹非寺

量子位 | 公眾號 QbitAI

2022年資訊保安領域四大頂會之一USENIX Security拉開帷幕。

今年又有好訊息傳來——復旦大學教授楊珉等研究員發表的論文被評為“傑出論文獎”。

USENIX Security,始於上世紀90年代初,被中國計算機學會(CCF)認定為網路安全A類國際學術會議,據廣州大學統計,過去30年國內僅有20篇左右成果在該國際會議發表,發表難度極高。

作者之一楊珉教授長期從事資訊保安領域研究,得知獲獎訊息後表示:

從13年發表國內第一第二篇網安頂會ccs的移動安全研究論文,十年篳路藍縷,我們還要更進一步!

讓我們先來關注一下這篇獲獎論文研究了什麼?

研究內容

網際網路時代下,每個人的手機裡幾乎都安裝了大量的APP,而本篇論文聚焦的就是這些APP背後的安全漏洞問題。

許多APP在開發的時候,就會把一些不那麼核心的功能委託給其他平臺完成,自己專注於服務現有使用者和吸引新使用者。

而這些被委託出去的功能也被稱為“子APP”,最常見的莫過於微信小程式。

微信就是一個很典型的例子,從剛出現時幾乎只有聊天功能,到現在成了一個超級巨無霸。

功能越來越齊全的背後是380萬個被託管出去的子APP,這一數量甚至超過了谷歌Play中所有安卓應用的總數。

這些子APP不僅能像普通APP一樣載入第三方資源,還可以訪問APP提供的特權API(Application Program Interface)。

但就引出了一個重要的研究問題——究竟哪些子APP可以訪問這些特權API?

研究人員發現,現行的APP往往採用3種身份來確定API訪問許可權——即網路域、子APP的ID和功能。

然而在實際應用中,由於這3種身份核實的方法都存在一定問題,所以經常會放過一些“漏網”的子APP,這一概念在論文中被首次定義為“身份混淆(identity confusion)”。

為了搞清這一問題,他們研究了47個流行APP基於webview的攻擊和防禦機制,如抖音、微信、支付寶、今日頭條等。

結果顯示,上述的三種身份混淆在所有47個被研究的APP中普遍存在。

更重要的是,這種混淆會導致嚴重的後果,比如某些子APP會暗中操縱使用者的財務賬戶,在手機上安裝惡意軟體等等。

另外,研究團隊還負責任地向以上APP的開發者們報告了這一結果,並幫助他們進行漏洞修復。

研究團隊

本篇論文來自復旦大學和約翰斯·霍普金斯大學的研究團隊。

共同一作是復旦大學的博士生張智搏和助理研究員張磊。

張磊,復旦大學系統軟體與安全實驗室助理研究員,曾獲得ACMSIGSAC中國優博獎和ACM中國優博提名獎。

主要在移動安全、系統安全和區塊鏈安全領域進行安全漏洞相關研究,包括程式程式碼分析技術、軟體自動化測試技術以及漏洞挖掘技術等。

另外,值得一提的是楊珉教授,現任復旦大學計算機科學技術學院科研副院長、教授、博士生導師。

在國內率先開展移動生態系統安全問題研究,研究方向主要包括惡意程式碼檢測、漏洞分析挖掘、安全、區塊鏈安全、Web 安全和系統安全機制等。

參考連結:

[1]https://secsys.fudan.edu.cn/26979/list.htm

[2]https://www.usenix.org/conference/usenixsecurity22/technical-sessions

[3]http://jsj.gzhu.edu.cn/info/1027/2516.htm

[4]https://weibo.com/2280128311/M0uPPEApT?

版權所有,未經授權不得以任何形式轉載及使用,違者必究。

「其他文章」