成果分享 | [NDSS 2026] 跨设备认证研究:以三大用户权利筑牢登录安全防线

  • 武纪伟
  • 3/6/2026, 12:00:00 AM

复旦大学系统软件与安全实验室移动应用安全小组围绕跨设备认证(XDAuth)可用安全性展开深度研究,提出知情权、同意权、控制权三大核心用户权利的信任锚点体系,相关成果成功入选安全领域顶会NDSS 2026。

研究背景

在多设备协同成为常态的当下,跨设备认证(XDAuth)已成为实现账号无缝、跨平台访问的核心机制,也是社交、电商、科技等领域的标配功能。

何为 XDAuth:用户在目标设备发起登录请求,通过已登录 / 存储安全凭证的可信认证设备完成授权,无需在目标设备输入密码,核心流程分为「发起登录 - 用户授权 - 完成登录」三步。目前主流实现方式为二维码认证、推送式认证、WebAuthn三种,凭借免密、便捷的体验,成为用户日常数字操作的重要组成部分。

但这种设备分离的认证模式,也带来了先天的安全隐患:认证设备与目标设备的物理和上下文分离,让二者失去统一的场景线索,形成信息不对称——用户在认证设备上授权时,无法直观看到目标设备的实际环境,极易因信息缺失误批准恶意登录请求,其中QRLJacking(二维码劫持) 就是典型的攻击手段。攻击者伪造仿冒的登录二维码,诱导用户扫码,而因平台未提供任何目标设备相关信息,用户无法辨别二维码真伪,盲目点击授权后,攻击者即可直接接管用户账号,造成隐私泄露、账号被盗等严重后果。

用户视角:三大用户权利

团队从用户视角出发,将三大权利与 XDAuth预授权、授权中、授权后全流程绑定,形成 “事前 - 事中 - 事后” 全链路安全保障,成为跨设备认证的核心信任锚点:

  • 知情权:预授权阶段披露授权目的、设备型号 / 位置、风险提示等完整信息,消除信息不对称;
  • 同意权:授权中需显式批准 / 拒绝,用户自主决定授权有效期,且决定权保留在认证设备;
  • 控制权:授权后实时推送登录通知,支持便捷查看活跃会话、有效撤销可疑授权,及时终止恶意访问。

应用评估:跨设备认证安全现状

团队选取 10 大品类 27 个主流服务,全覆盖三种 XDAuth 机制,评估发现行业普遍缺陷:

知情权:超半数平台让用户 “盲目授权”

52%(14/27)的服务未提供任何目标设备 / 环境信息,仅 3 个服务披露授权权限范围,仅 1 个服务有设备风险提示;部分平台还存在信息质量差的问题,如 Keeper 仅展示原始 IP 地址、Wise 仅提供国家级地理位置,用户无法区分合法设备与攻击者设备。

同意权:设计漏洞为攻击提供可乘之机

  1. 部分平台(如 Ivi)采用「扫码即登录」模式,无任何显式确认步骤,直接绕开用户授权,大幅增加 QRLJacking 攻击成功率;
  2. 4 个服务无清晰的 “拒绝” 按钮。
  3. 多数平台未允许用户在认证设备端自主设定授权有效期,一旦目标设备被攻击者控制,攻击者即可实现对用户账号的持久化访问。

控制权:认证容易控制难

  1. 无感知登录:10/27 的服务无任何登录通知,13/17 有通知的服务也仅采用弹窗等临时提醒。
  2. 会话管理难:5 个服务无任何会话查看功能,部分提供会话管理功能但访问性差,如Facebook 等平台的会话管理功能深埋在 6 层设置菜单中,用户难以找到;
  3. 撤销机制失效:6 个服务无会话撤销功能,且部分服务撤销功能有缺陷,如:某头部短视频平台即便支持撤销,被撤销的会话仍可继续访问用户实时聊天记录。

此外,团队向厂商披露问题后,Zoho OneAuth、GitHub等已积极回应,将改进方案纳入产品研发路线图。

团队为开发者提出核心设计建议:

  • 知情权:渐进式披露信息,高亮陌生设备、异地登录等异常风险;
  • 同意权:设计平衡的批准 / 拒绝界面,授权有效期决定权归认证设备;
  • 控制权:会话管理功能中心化、易访问,登录通知持久化并链接管控页面。     

同时呼吁行业制定统一的 XDAuth 设计标准,推广用户权利导向的最佳实践。

研究团队

张晓寒,复旦大学青年副研究员、硕导,主要研究方向为移动应用安全、恶意软件检测和AI应用安全等,在IEEE S&P、USENIX Security、ACM CCS、NDSS等网安和软工顶会顶刊发表CCF A类论文10余篇,获网安顶会ACM CCS 2020最佳论文提名(4/121)、NDSS 2025杰出论文奖。主持国家重点研发计划子课题、自科基金青年项目、博新计划、腾讯企业合作等多个项目。研究产生较大影响,获国家漏洞库CNVD最具价值漏洞奖、工信部CAPPVD移动APP治理优秀实践案例、中国计算机学会CCF自然科学二等奖、华为优秀技术成果奖等。指导学生获中国研究生网络安全创新大赛一等奖,并获优秀指导教师。个人主页:https://xhzhang.github.io/       

张歆,复旦大学计算机科学技术学院22级直博生(21级卓博),本科毕业于复旦大学信息安全专业。主要研究方向为移动应用认证安全等,在NDSS、USENIX Security、TDSC等网络空间安全国际顶会顶刊上发表过学术论文,获NDSS 2025杰出论文奖、工信部CAPPVD移动APP治理优秀实践案例。