4月11日下午,由计算机学院网络空间安全学科方向承办的第二期研究生顶会论文预宣讲报告(FudanCSF3-TVP)——“系统安全专题”报告如期举行。此次报告活动总共包含五场,由来自智能网络与系统学科方向和网络空间安全学科的5位硕士/博士研究生为介绍发表/录用于系统安全顶会ASE 2021、S&P 2022以及CCS 2022上的前沿工作。
第一场报告是由周扬帆副教授与徐辉青年副研究员的学生——2019级硕士研究生姜剑峰带来的论文报告“RULF: Rust library fuzzing via API dependency graph traversal”,发表于ASE 2021。在报告中,姜剑峰同学深入浅出地为我们介绍了该工作提出的基于API依赖图来自动为Rust库生成用例程序的方法,该方法可以为Rust库生成低冗余,高覆盖的用例程序,以实现高效寻找Rust库中的程序错误。结合现有的模糊测试工具,该工作在7个流行的开源库中找到了30个新的错误,为进一步保障Rust库的安全性提供了支持。
第二场报告是由网络空间安全方向的2019级硕士研究生万俊鹏为我们带来的论文报告,其导师为周喆青年副研究员。万俊鹏同学为我们详细介绍了其最新发表于S&P 2022的工作“MeshUp: Stateless Cache Side-channel Attack on CPU Mesh”。当多核共享CPU时,不同程序之间硬件资源的共享导致侧信道攻击。在此背景下,万俊鹏同学细致地为我们介绍了本文提出的一类新型MeshUp攻击,其不依赖于探测微架构状态,可以绕过现有的时间和空间隔离机制。同时,通过RSA私钥窃取和应用程序推测两个场景,他向我们证明了MeshUp攻击的可行性,也进一步讨论了MeshUp可能的防御机制。
第三场报告则是由系统软件与安全实验室杨珉老师与杨哲慜老师的学生——2019级博士生李帅为我们带来的发表于CCS 2022上的论文“A Study on Cross-User Privacy Leakage in Mobile Apps”。近年来移动应用呈现出不断向社交平台发展的趋势,让用户能便利地与其他用户交互的同时,也带来了大量的用户间数据传递。李帅博士通过直观的案例向我们展示了一类未被充分研究但会带来严重隐私风险的XPO漏洞,同时简洁明了地向我们介绍了文章设计实现的自动化漏洞检测工具XPOChecker。最后,通过大规模的实验评估结果以及案例分析,为我们揭露了此类隐私漏洞的危害及严重性。
第四场报告是由杨珉老师和张磊助理研究员的学生——2020级博士生廉轲轲为我们带来的论文“Exploit the Last Straw That Breaks Android Systems”,发表于S&P 2022。廉轲轲博士的此项工作首次对安卓系统服务的数据存储过程进行了系统性的安全分享,发现了一种新类型的设计缺陷(命名为Straw漏洞),可以导致严重的DoS攻击,甚至对安卓系统设备造成永久性破坏。针对此类漏洞,廉轲轲博士深入浅出地为我们介绍了该工作提出的基于定向模糊测试技术的漏洞检测工具(StrawFuzzer)。该工作在3个最新的安卓系统上发现了35个Straw高危漏洞,影响到77个系统服务中的474个系统服务接口,揭示了巨大的安全风险,也受到了安卓厂商的高度重视与跟进。
第五场报告则是由杨珉老师与杨哲慜老师的学生——2019级博士研究生洪赓为我们介绍的博彩诈骗相关工作“Analyzing Ground-Truth Data of Mobile Gambling Scams”,该工作发表于S&P 2022。当下,以博彩诈骗为代表的网络诈骗犯罪愈演愈烈,造成了极大的经济损失。洪赓博士及其所在团队首次基于博彩诈骗案件真实数据开展了系统性实证研究,有效地揭示了博彩诈骗的运营渠道和欺诈链条。在报告中,洪赓博士以风趣的口吻地向我们揭示了博彩诈骗的社工技巧和应用特征,在介绍科研论文的同时也帮助我们更好地防范网络诈骗。该工作有助于进一步了解当前博彩诈骗生态系统,协助打击此类诈骗犯罪行为。
“疫情阻挡不了科研的热情”,在本次线上顶会论文报告活动中,各位报告者准备充分,讲解细致,为我们带来了一场场精彩纷呈的学术报告。参会的同学们也积极讨论,深入交流,相信大家都收获颇丰。
