同盾移动安全研究院专注于主流移动操作系统、移动互联网应用以及物联网设备的前沿安全攻防技术研究和安全产品预研,是同盾反欺诈业务的重要组成部分,杨珉教授自五月起受邀担任同盾移动安全研究院首席科学家。杨珉教授长期专注于移动系统安全领域的研究工作,担任国家973首席科学家、教育部青年长江学者、中国网络空间安全协会理事等学术职务。在国内率先开展移动系统安全问题研究,凭借程序分析技术领域的优势积累在系统安全缺陷检测和防护方法领域中取得了一系列的突破,形成较大的社会和学术影响力。
杨教授团队在论文中指出:“为了更好的支持手机软件(APP)使用云端服务,减少APP开发时针对不同型号智能手机的适应性定制,主流的手机操作系统(和苹果iOS)均支持通过APP内嵌浏览器访问云端内容。目前大部分移动应用中会都会使用这种机制来访问各式各样的云服务,包括授权认证、社交分享、广告插件等。这种APP和云服务的交互模式,使得开发过程变得简单且具有较好的可移植性与可性,同时经过长时间潜移默化的用户教育,用户也已经非常习惯这种交互方式,但是其中蕴含的安全风险却尚未引起足够重视。被APP加载的云端服务,可以被APP完全控制,用户在使用该服务时涉及的所有数据,都可以被APP捕获甚至恶意。”针对这种新型的安全,研究团队研发了一款自动化检测工具,检测了Google Play应用商城8万多款热门应用,发现约有5%的APP会操作不属于其自身主体的云端数据。更为严重的是,发现了几十个应用和多个iOS应用,都存在明显的恶意行为,包括窃取用户名和密码、盗取并cookie以及伪造其他应用等行为。进一步的数据分析表明,目前应用商城、云服务提供者以及用户,都没有意识到这种内嵌浏览器存在这类安全漏洞;事实上,上述发现的恶意应用仅在Google Play的下载安装量就已经超过了上亿次,危害范围非常广泛。
这一研究正式发表后,引起了Google和苹果的高度重视,但因为这类漏洞的形成机理,涉及到操作系统和相应的APP编程模型,目前无法通过安全补丁方式修补,现仅能以下架相关软件进行处理。同盾移动安全研究院希望通过这项研究工作,帮助移动社区认知和重视APP内嵌浏览器的安全风险,在APP开发环节中重视云端服务和数据的防护,避免用户数据的大范围泄露。
作为一家科技驱动的企业,人才一直都是同盾最核心的战略资源,杨珉教授的学术充分表明,某一领域的核心人才发挥的价值和能量越来越重要。同盾的构建具有国际竞争力的引才用才机制及日益丰沛的人才资源将是在同盾新的发展阶段重要的发展动能。这将进一步提升企业在金融科技、人工智能等前沿技术领域的创新能力,在日益激烈的市场竞争中持续领跑
恐怖分子处决美女本文由来源于财鼎国际(www.hengpunai.cn)