微信支付寶都中槍，復(fù)旦研究小程序漏洞獲頂會(huì)杰出論文獎(jiǎng)

2022 年信息安全領(lǐng)域四大頂會(huì)之一 USENIX Security 拉開帷幕。

今年又有好消息傳來 —— 復(fù)旦大學(xué)教授楊珉等研究員發(fā)表的論文被評(píng)為“杰出論文獎(jiǎng)”。

USENIX Security，始于上世紀(jì) 90 年代初，被中國計(jì)算機(jī)學(xué)會(huì)（CCF）認(rèn)定為網(wǎng)絡(luò)安全 A 類國際學(xué)術(shù)會(huì)議，據(jù)廣州大學(xué)統(tǒng)計(jì)，過去 30 年國內(nèi)僅有 20 篇左右成果在該國際會(huì)議發(fā)表，發(fā)表難度極高。

作者之一楊珉教授長期從事信息安全領(lǐng)域研究，得知獲獎(jiǎng)消息后表示：

從 13 年發(fā)表國內(nèi)第一第二篇網(wǎng)安頂會(huì) ccs 的移動(dòng)安全研究論文，十年篳路藍(lán)縷，我們還要更進(jìn)一步！

讓我們先來關(guān)注一下這篇獲獎(jiǎng)?wù)撐难芯苛耸裁矗?/p>

研究內(nèi)容

互聯(lián)網(wǎng)時(shí)代下，每個(gè)人的手機(jī)里幾乎都安裝了大量的 App，而本篇論文聚焦的就是這些 App 背后的安全漏洞問題。

許多 App 在開發(fā)的時(shí)候，就會(huì)把一些不那么核心的功能委托給其他平臺(tái)完成，自己專注于服務(wù)現(xiàn)有用戶和吸引新用戶。而這些被委托出去的功能也被稱為“子 App”，最常見的莫過于微信小程序。

微信就是一個(gè)很典型的例子，從剛出現(xiàn)時(shí)幾乎只有聊天功能，到現(xiàn)在成了一個(gè)超級(jí)巨無霸。

功能越來越齊全的背后是 380 萬個(gè)被托管出去的子 App，這一數(shù)量甚至超過了谷歌 Play 中所有安卓應(yīng)用的總數(shù)。

這些子 App 不僅能像普通 App 一樣加載第三方資源，還可以訪問 App 提供的特權(quán) API（Application Program Interface）。

但就引出了一個(gè)重要的研究問題 —— 究竟哪些子 App 可以訪問這些特權(quán) API？

研究人員發(fā)現(xiàn)，現(xiàn)行的 App 往往采用 3 種身份來確定 API 訪問權(quán)限 —— 即網(wǎng)絡(luò)域、子 App 的 ID 和功能。

然而在實(shí)際應(yīng)用中，由于這 3 種身份核實(shí)的方法都存在一定問題，所以經(jīng)常會(huì)放過一些“漏網(wǎng)”的子 App，這一概念在論文中被首次定義為“身份混淆（identity confusion）”。

為了搞清這一問題，他們研究了 47 個(gè)流行 App 基于 webview 的攻擊和防御機(jī)制，如抖音、微信、支付寶、今日頭條等。

結(jié)果顯示，上述的三種身份混淆在所有 47 個(gè)被研究的 App 中普遍存在。

更重要的是，這種混淆會(huì)導(dǎo)致嚴(yán)重的后果，比如某些子 App 會(huì)暗中操縱用戶的財(cái)務(wù)賬戶，在手機(jī)上安裝惡意軟件等等。

另外，研究團(tuán)隊(duì)還負(fù)責(zé)任地向以上 App 的開發(fā)者們報(bào)告了這一結(jié)果，并幫助他們進(jìn)行漏洞修復(fù)。

研究團(tuán)隊(duì)

本篇論文來自復(fù)旦大學(xué)和約翰斯?霍普金斯大學(xué)的研究團(tuán)隊(duì)。

共同一作是復(fù)旦大學(xué)的博士生張智搏和助理研究員張磊。

張磊，復(fù)旦大學(xué)系統(tǒng)軟件與安全實(shí)驗(yàn)室助理研究員，曾獲得 ACMSIGSAC 中國優(yōu)博獎(jiǎng)和 ACM 中國優(yōu)博提名獎(jiǎng)。

主要在移動(dòng)安全、系統(tǒng)安全和區(qū)塊鏈安全領(lǐng)域進(jìn)行安全漏洞相關(guān)研究，包括程序代碼分析技術(shù)、軟件自動(dòng)化測試技術(shù)以及漏洞挖掘技術(shù)等。

另外，值得一提的是楊珉教授，現(xiàn)任復(fù)旦大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院科研副院長、教授、博士生導(dǎo)師。

在國內(nèi)率先開展移動(dòng)生態(tài)系統(tǒng)安全問題研究，研究方向主要包括惡意代碼檢測、漏洞分析挖掘、安全、區(qū)塊鏈安全、Web 安全和系統(tǒng)安全機(jī)制等。

參考鏈接：

[1]https://secsys.fudan.edu.cn/26979/list.htm

[2]https://www.usenix.org/conference/usenixsecurity22/technical-sessions

[3]http://jsj.gzhu.edu.cn/info/1027/2516.htm

[4]https://weibo.com/2280128311/M0uPPEApT?

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。