近日,同盾移动安全研究院首席科学家、复旦大学杨珉教授团队在信息安全领域国际会议USENIX Security发表重磅论文,这是同盾科技移动安全研究院在国际学术领域首次亮相,标志着同盾科技在安全领域的学术研究水平已经达到国际一流水平。
同盾移动安全研究院专注于主流移动操作系统、移动互联网应用以及物联网设备的前沿安全攻防技术研究和安全产品预研,是同盾反欺诈业务的重要组成部分。杨珉教授长期专注于移动系统安全领域的研究工作,担任国家973首席科学家、教育部青年长江学者、中国网络空间安全协会理事等学术职务。在国内率先开展移动系统安全问题研究,凭借程序分析技术领域的优势积累在系统安全缺陷检测和防护方法领域中取得了一系列的突破,形成较大的社会和学术影响力。
USENIX Security是信息安全领域四大国际学术会议之一,始于上世纪90年代初。USENIX Security被中国计算机学会(CCF)归为“网络与信息安全”A类会议(共分为ABC三类,A类为最佳,指国际上极少数的刊物和会议,鼓励我国研究人员去突破)。
近日在美国召开的USENIX Security 2018会议上,同盾移动安全研究院首席科学家杨珉教授团队发表了关于APP内嵌浏览器安全漏洞危害上亿用户隐私的论文:“An Empirical Study of Web Resource Manipulation in Real-world Mobile Applications”。
杨教授团队在论文中指出:“为了更好的支持手机软件(APP)使用云端服务,减少APP开发时针对不同型号智能手机的适应性定制,主流的手机操作系统(和苹果iOS)均支持通过APP内嵌浏览器访问云端内容。目前大部分移动应用中会都会使用这种机制来访问各式各样的云服务,包括授权认证、社交分享、广告插件等。这种APP和云服务的交互模式,使得开发过程变得简单且具有较好的可移植性与可性,同时经过长时间潜移默化的用户教育,用户也已经非常习惯这种交互方式,但是其中蕴含的安全风险却尚未引起足够重视。被APP加载的云端服务,可以被APP完全控制,用户在使用该服务时涉及的所有数据,都可以被APP捕获甚至恶意。”针对这种新型的安全,研究团队研发了一款自动化检测工具,检测了Google Play应用商城8万多款热门应用,发现约有5%的APP会操作不属于其自身主体的云端数据。更为严重的是,发现了几十个应用和多个iOS应用,都存在明显的恶意行为,包括窃取用户名和密码、盗取并cookie以及伪造其他应用等行为。进一步的数据分析表明,目前应用商城、云服务提供者以及用户,都没有意识到这种内嵌浏览器存在这类安全漏洞;事实上,上述发现的恶意应用仅在Google Play的下载安装量就已经超过了上亿次,危害范围非常广泛。