Distinguished Paper Award
成果介绍
2024年7月15日至19日,软件工程领域最具有影响力,历史最悠久的国际旗舰学术会议之一 FSE(CCF A类)将在巴西召开。复旦大学计算机科学技术学院系统软件与安全实验室在移动安全领域的最新研究成果“Component Security Ten Years Later: An Empirical Study of Cross-Layer Threats in Real-World Mobile Applications”荣获2024年度FSE杰出论文奖(ACM SIGSOFT Distinguished Paper Award)。
这是团队在2022年获得网络安全领域顶尖学术会议USENIX Security杰出论文奖之后,再次获得的CCF A类国际顶尖学术会议杰出论文奖,也使得团队成为了国内首个跨界同时获得网络安全领域和软件工程领域顶级会议杰出论文荣誉的研究团队。
安卓应用安全领域经过多年的深入研究和不断创新,已经积累了丰富的漏洞类型和成熟的解决方案。总体而言,现有研究主要集中在应用内敏感功能和数据暴露问题上。由于安卓应用主要使用内存安全语言Java作为开发语言,其内存安全问题往往被研究者所忽视。文章首次从内存安全角度出发,研究攻击者对于安卓应用内存可用性和完整性的攻击方法,丰富了Java内存安全研究的内涵。
具体而言,开发者习惯性采用统一规范式的数据存储机制来管理不同来源的数据,使得低可信数据与敏感数据存储在一起。更糟糕的是,开发者在加载和使用这些内部存储的数据时,出于对操作系统应用隔离机制的信任,往往天然信任这些数据,缺少对加载数据大小和语义的检查。利用数据存储机制的管理缺陷,攻击者可以注入大量垃圾数据或篡改敏感数据。当应用程序运行时使用了这些数据,会导致安卓应用内存的可用性和完整性被破坏,从而间接操纵应用内部敏感功能。
针对现有安全解决方案难以细粒度的识别数据存储中数据来源的局限性,团队提出了一种数据存储感知的数据流分析方法,能够追踪数据存储中同一数据项的读取和写入,并识别滥用后果。通过对近1.5万个流行应用的实证研究,团队发现并验证了大量可实际利用的安全漏洞,能够造成如任意代码执行、点击劫持、UI诱导欺骗、持久性拒绝服务等严重安全后果。该研究在盲审期间得到了审稿人的一致认可:“该研究不仅识别了新的安全风险,还为改进Android组件安全性提供了重要的缓解措施和技术方法,对提升移动应用的整体安全性具有重要意义。”
杰出论文获奖团队介绍
第一作者:廉轲轲,复旦大学计算机科学技术学院系统软件与安全实验室博士生,研究方向包括移动安全,开源软件安全,漏洞自动化检测等。在科学研究方面,已在网络安全顶会IEEE S&P和软件工程顶会FSE上发表4篇论文,并获FSE 2024杰出论文奖。在漏洞发现方面,识别并确认 150+ 0Day漏洞(70+ CVE ID),获得来自包括谷歌,华为,vivo,Apache,Eclipse,Red Hat,VMware,Oracle 等知名企业和组织的致谢。
指导教师:张磊,复旦大学计算机科学技术学院助理研究员,硕导,主要研究漏洞挖掘与治理,主持国家重点研发计划子课题、国自科青年基金、上海市人民政府决策咨询项目等,已在IEEE S&P、ACM CCS等网络安全顶会上发表10余篇论文,并获上海市计算机协会科学技术一等奖、ACM SIGSAC 中国优博奖和ACM 中国优博提名奖,FSE 2024杰出论文奖,USENIX Security 2022 杰出论文奖(国内首篇)。研究成果目前在中国电信、中远海运、支付宝、vivo、OPPO等多个行业头部厂商落地应用。
邮箱:zxl@fudan.edu.cn
