近日,复旦大学计算机科学技术学院杨珉教授领衔的系统与软件安全实验室荣获网络安全国际顶尖学术会议31st USENIX Security Symposium杰出论文奖(Distinguished Paper Award),这也是该会议创办31年来大陆高校第一次获此殊荣。该奖项竞争非常激烈,由评审委员会从256篇录用论文中遴选产生(本年度会议投稿总计1414篇,录用率不到19%)。
我院获奖论文“Identity Confusion in WebView-based Mobile App-in-app Ecosystems”聚焦于移动应用小程序生态安全问题,揭示了微信、支付宝、抖音、今日头条等一批主流软件面临的严重安全威胁,避免了数十亿用户的信息安全风险,得到国内外学术界和产业界的高度认可。论文第一作者张磊系杨珉教授指导的博士生,2020年1月获网络空间安全博士学位,目前系我校网络空间国际治理研究基地助理研究员,主要从事移动生态安全治理技术研究。
图:App-in-app生态组成示意图
随着国内外移动端流行应用功能日趋丰富,一部分流行应用逐渐推出小程序或者类小程序功能,选择将自身业务逻辑开放给第三方小程序开发者使用,以基于此构建大量的轻量化子应用,形成了紧密结合的App-in-app生态(国内称其为小程序生态)。对于小程序来说,不仅可以从各个三方云服务器中动态加载代码运行,还能够利用宿主应用(如支付宝、微信等)提供的各种功能接口访问敏感系统资源(例如麦克风,摄像头,地理位置等)以及用户隐私数据(例如联系人、出行记录、交易记录等)。如今大量小程序纷纷出现,几乎涉及社会服务和管理的方方面面,例如出行、消费、亲子、疫情防控、政务管理等等。而通过“扫一扫”二维码启动各类小程序也变成了用户每天出行的日常。
在这篇论文中,研究团队结合软件供应链安全的思想,针对小程序生态所依赖的基础运行环境(WebView)开展深度安全分析,发现了一批普遍存在于各类小程序框架中的访问控制漏洞问题(Identity Confusion),利用这些漏洞,黑客可以悄无声息地溜进受害者使用的宿主应用中,越权调用特权接口,泄露用户敏感数据、控制用户账户等。在此基础上,研究团队针对主流应用市场上的47个流行宿主应用展开了漏洞验证和安全危害分析,证实这些应用的安卓版本和iOS版本均受这些漏洞影响,对广大用户群体产生严重的安全威胁。该研究对小程序生态的安全发展有重大参考价值,研究团队与国家信息安全漏洞共享平台CNVD、涉及厂商积极协作,并提供漏洞修复方案,以共同维护小程序生态中的用户信息安全,得到各方的高度赞赏。
