信息平安范畴四大顶会之一 USENIX Security 拉开帷幕。
今年又有好音讯传来, 复旦大学教授杨珉等研讨员发表的论文被评为“出色论文奖”。
USENIX Security,始于上世纪 90 年代初,被中国计算机学会(CCF)认定为网络平安 A 类国际学术会议,据广州大学统计,过去 30 年国内仅有 20 篇左右成果在该国际会议发表,发表难度极高。
作者之一杨珉教授长期从事信息平安范畴研讨,得知获奖音讯后表示:
从 13 年发表国内第一第二篇网安顶会 ccs 的挪动平安研讨论文,十年筚路蓝缕,我们还要更进一步!
微信支付宝都中枪,复旦研讨小程序破绽获顶会出色论文奖
让我们先来关注一下这篇获奖论文研讨了什么?
研讨内容
互联网时期下,每个人的手机里简直都装置了大量的 App,而本篇论文聚焦的就是这些 App 背后的平安破绽问题。
许多 App 在开发的时分,就会把一些不那么中心的功用拜托给其他平台完成,本人专注于效劳现有用户和吸收新用户。而这些被拜托进来的功用也被称为“子 App”,最常见的莫过于微信小程序。
微信支付宝都中枪,复旦研讨小程序破绽获顶会出色论文奖
微信就是一个很典型的例子,从刚呈现时简直只要聊天功用,到如今成了一个超级巨无霸。
功用越来越齐全的背后是 380 万个被托管进来的子 App,这一数量以至超越了谷歌 Play 中一切安卓应用的总数。
这些子 App 不只能像普通 App 一样加载第三方资源,还能够访问 App 提供的特权 API(Application Program Interface)。
微信支付宝都中枪,复旦研讨小程序破绽获顶会出色论文奖
但就引出了一个重要的研讨问题 —— 终究哪些子 App 能够访问这些特权 API?
研讨人员发现,现行的 App 常常采用 3 种身份来肯定 API 访问权限 —— 即网络域、子 App 的 ID 和功用。
但是在实践应用中,由于这 3 种身份核实的办法都存在一定问题,所以经常会放过一些“漏网”的子 App,这一概念在论文中被初次定义为“身份混杂(identity confusion)”。
为了搞清这一问题,他们研讨了 47 个盛行 App 基于 webview 的攻击和防御机制,如抖音、微信、支付宝、今日头条等。
微信支付宝都中枪,复旦研讨小程序破绽获顶会出色论文奖
结果显现,上述的三种身份混杂在一切 47 个被研讨的 App 中普遍存在。
微信支付宝都中枪,复旦研讨小程序破绽获顶会出色论文奖
更重要的是,这种混杂会招致严重的结果,比方某些子 App 会暗中支配用户的财务账户,在手机上装置歹意软件等等。
另外,研讨团队还担任任地向以上 App 的开发者们报告了这一结果,并协助他们停止破绽修复。
研讨团队
本篇论文来自复旦大学和约翰斯・霍普金斯大学的研讨团队。
微信支付宝都中枪,复旦研讨小程序破绽获顶会出色论文奖
共同一作是复旦大学的博士生张智搏和助理研讨员张磊。
张磊,复旦大学系统软件与平安实验室助理研讨员,曾取得 ACMSIGSAC 中国优博奖和 ACM 中国优博提名奖。
微信支付宝都中枪,复旦研讨小程序破绽获顶会出色论文奖
主要在挪动平安、系统平安和区块链平安范畴停止平安破绽相关研讨,包括程序代码剖析技术、软件自动化测试技术以及破绽发掘技术等。
另外,值得一提的是杨珉教授,现任复旦大学计算机科学技术学院科研副院长、教授、博士生导师。
微信支付宝都中枪,复旦研讨小程序破绽获顶会出色论文奖
在国内率先展开挪动生态系统平安问题研讨,研讨方向主要包括歹意代码检测、破绽剖析发掘、平安、区块链平安、Web 平安和系统平安机制等。