近日,我实验室荣获网络安全国际顶尖学术会议31st USENIX Security Symposium杰出论文奖(Distinguished Paper Award),这也是该会议创办31年来大陆高校第一次获此殊荣。该奖项竞争非常激烈,由评审委员会从256篇录用论文中遴选产生(本年度会议投稿总计1414篇,录用率不到19%)。
我实验室获奖论文“Identity Confusion in WebView-based Mobile App-in-app Ecosystems”聚焦于移动应用小程序生态安全问题,揭示了微信、支付宝、抖音、今日头条等一批主流软件面临的严重安全威胁,避免了数十亿用户的信息安全风险,得到国内外学术界和产业界的高度认可。论文主要作者为我实验室漏洞挖掘小组的师生,长期从事移动安全领域研究,具有丰富的漏洞挖掘经验(作者列表:张磊*、张智搏*、刘安聪、曹寅志、张晓寒、陈彦君、张源、杨广亮、杨珉)。
App-in-app生态组成示意图
随着国内外移动端流行应用功能日趋丰富,一部分流行应用逐渐推出小程序或者类小程序功能,选择将自身业务逻辑开放给第三方小程序开发者使用,以基于此构建大量的轻量化子应用,形成了紧密结合的App-in-app生态(国内称其为小程序生态)。
对于小程序来说,不仅可以从各个三方云服务器中动态加载代码运行,还能够利用宿主应用(如支付宝、微信等)提供的各种功能接口访问敏感系统资源(例如麦克风,摄像头,地理位置等)以及用户隐私数据(例如联系人、出行记录、交易记录等)。如今大量小程序纷纷出现,几乎涉及社会服务和管理的方方面面,例如出行、消费、亲子、疫情防控、政务管理等等。而通过“扫一扫”二维码启动各类小程序也变成了用户每天出行的日常。
在这篇论文中,研究团队结合软件供应链安全的思想,针对小程序生态所依赖的基础运行环境(WebView)开展深度安全分析,发现了一批普遍存在于各类小程序框架中的访问控制漏洞问题(Identity Confusion),利用这些漏洞,黑客可以悄无声息地溜进受害者使用的宿主应用中,越权调用特权接口,泄露用户敏感数据、控制用户账户等。
在此基础上,研究团队针对主流应用市场上的47个流行宿主应用展开了漏洞验证和安全危害分析,证实这些应用的安卓版本和iOS版本均受这些漏洞影响,对广大用户群体产生严重的安全威胁。该研究对小程序生态的安全发展有重大参考价值,研究团队与国家信息安全漏洞共享平台CNVD、涉及厂商积极协作,并提供漏洞修复方案,以共同维护小程序生态中的用户信息安全,得到各方的高度赞赏。
(转载自 复旦白泽战队公众号)