同盾科技首席科學(xué)家團(tuán)隊(duì)論文被USENIX Security 2018收錄

楊珉教授(圖右)與第一作者張曉寒博士

近日,在信息安全領(lǐng)域頂級(jí)國(guó)際會(huì)議USENIX Security中同盾移動(dòng)安全研究院首席科學(xué)家、復(fù)旦大學(xué)楊珉教授團(tuán)隊(duì)發(fā)表了重磅論文,這是同盾科技移動(dòng)安全研究院在國(guó)際學(xué)術(shù)領(lǐng)域首次亮相,標(biāo)志著同盾科技在安全領(lǐng)域的學(xué)術(shù)研究水平已經(jīng)達(dá)到國(guó)際一流水平。

同盾移動(dòng)安全研究院專注于主流移動(dòng)操作系統(tǒng)、移動(dòng)互聯(lián)網(wǎng)應(yīng)用以及物聯(lián)網(wǎng)設(shè)備的前沿安全攻防技術(shù)研究和安全產(chǎn)品預(yù)研,是同盾反欺詐業(yè)務(wù)的重要組成部分,楊珉教授自五月起受邀擔(dān)任同盾移動(dòng)安全研究院首席科學(xué)家。楊珉教授長(zhǎng)期專注于移動(dòng)系統(tǒng)安全領(lǐng)域的研究工作,擔(dān)任國(guó)家973首席科學(xué)家、教育部青年長(zhǎng)江學(xué)者、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)理事等學(xué)術(shù)職務(wù)。在國(guó)內(nèi)率先開展移動(dòng)系統(tǒng)安全問題研究,憑借程序分析技術(shù)領(lǐng)域的優(yōu)勢(shì)積累在系統(tǒng)安全缺陷檢測(cè)和防護(hù)方法領(lǐng)域中取得了一系列的突破,形成較大的社會(huì)和學(xué)術(shù)影響力。

USENIX Security是信息安全領(lǐng)域四大頂級(jí)國(guó)際學(xué)術(shù)會(huì)議之一,始于上世紀(jì)90年代初。USENIX Security被中國(guó)計(jì)算機(jī)學(xué)會(huì)(CCF)歸為“網(wǎng)絡(luò)與信息安全”A類會(huì)議(共分為ABC三類,A類為最佳,指國(guó)際上極少數(shù)的頂級(jí)刊物和會(huì)議,鼓勵(lì)我國(guó)研究人員去突破)。

近日在美國(guó)召開的USENIX Security 2018會(huì)議上,同盾移動(dòng)安全研究院首席科學(xué)家楊珉教授團(tuán)隊(duì)發(fā)表了關(guān)于APP內(nèi)嵌瀏覽器安全漏洞危害上億用戶隱私的論文:“An Empirical Study of Web Resource Manipulation in Real-world Mobile Applications”。

楊教授團(tuán)隊(duì)在論文中指出:“為了更好的支持手機(jī)軟件(APP)使用云端服務(wù),減少APP開發(fā)時(shí)針對(duì)不同型號(hào)智能手機(jī)的適應(yīng)性定制,主流的手機(jī)操作系統(tǒng)(安卓和蘋果iOS)均支持通過APP內(nèi)嵌瀏覽器訪問云端內(nèi)容。目前大部分移動(dòng)應(yīng)用中會(huì)都會(huì)使用這種機(jī)制來訪問各式各樣的云服務(wù),包括授權(quán)認(rèn)證、社交分享、廣告插件等。這種APP和云服務(wù)的交互模式,使得開發(fā)過程變得簡(jiǎn)單且具有較好的可移植性與可維護(hù)性,同時(shí)經(jīng)過長(zhǎng)時(shí)間潛移默化的用戶教育,用戶也已經(jīng)非常習(xí)慣這種交互方式,但是其中蘊(yùn)含的安全風(fēng)險(xiǎn)卻尚未引起足夠重視。被APP加載的云端服務(wù),可以被APP完全控制,用戶在使用該服務(wù)時(shí)涉及的所有敏感數(shù)據(jù),都可以被APP捕獲甚至惡意操縱。”針對(duì)這種新型的安全威脅,研究團(tuán)隊(duì)研發(fā)了一款自動(dòng)化檢測(cè)工具,檢測(cè)了Google Play應(yīng)用商城8萬多款熱門應(yīng)用,發(fā)現(xiàn)約有5%的APP會(huì)操作不屬于其自身主體的云端數(shù)據(jù)。更為嚴(yán)重的是,發(fā)現(xiàn)了幾十個(gè)安卓應(yīng)用和多個(gè)iOS應(yīng)用,都存在明顯的惡意攻擊行為,包括竊取用戶名和密碼、盜取并濫用cookie以及偽造其他合法應(yīng)用等行為。進(jìn)一步的數(shù)據(jù)分析表明,目前應(yīng)用商城、云服務(wù)提供者以及用戶,都沒有意識(shí)到這種內(nèi)嵌瀏覽器存在這類安全漏洞;事實(shí)上,上述發(fā)現(xiàn)的惡意應(yīng)用僅在Google Play的下載安裝量就已經(jīng)超過了上億次,危害范圍非常廣泛。

這一研究成果正式發(fā)表后,引起了Google和蘋果的高度重視,但因?yàn)檫@類漏洞的形成機(jī)理,涉及到操作系統(tǒng)和相應(yīng)的APP編程模型,目前無法通過安全補(bǔ)丁方式修補(bǔ),現(xiàn)僅能以下架相關(guān)軟件進(jìn)行處理。同盾移動(dòng)安全研究院希望通過這項(xiàng)研究工作,幫助移動(dòng)社區(qū)認(rèn)知和重視APP內(nèi)嵌瀏覽器的安全風(fēng)險(xiǎn),在APP開發(fā)環(huán)節(jié)中重視云端服務(wù)和數(shù)據(jù)的防護(hù),避免用戶敏感數(shù)據(jù)的大范圍泄露。

楊珉教授擔(dān)任同盾移動(dòng)安全研究院首席科學(xué)家后,結(jié)合同盾在實(shí)際商業(yè)場(chǎng)景中的應(yīng)用,帶領(lǐng)團(tuán)隊(duì)共同在移動(dòng)安全領(lǐng)域取得了基礎(chǔ)理論和核心技術(shù)的突破,加速產(chǎn)學(xué)研聯(lián)動(dòng),縮短科技轉(zhuǎn)化的路徑,進(jìn)一步將科研創(chuàng)新成果轉(zhuǎn)化落地。

在金融科技不斷發(fā)展的今天,同盾始終著眼于人才發(fā)展戰(zhàn)略,在吸引人才、引進(jìn)高精尖人才上始終不遺余力。同時(shí),隨著生態(tài)布局的不斷豐富,同盾科技對(duì)于人才的需求也變得更多樣化,從學(xué)術(shù)研究、基礎(chǔ)科學(xué)研究、技術(shù)應(yīng)用開發(fā)到行業(yè)觀察分析等各細(xì)分領(lǐng)域的人才,都是同盾廣泛招募的對(duì)象。

作為一家科技驅(qū)動(dòng)的企業(yè),人才一直都是同盾最核心的戰(zhàn)略資源,楊珉教授的學(xué)術(shù)成果充分表明,某一領(lǐng)域的核心人才發(fā)揮的價(jià)值和能量越來越重要。同盾堅(jiān)持的構(gòu)建具有國(guó)際競(jìng)爭(zhēng)力的引才用才機(jī)制及日益豐沛的人才資源將是在同盾新的發(fā)展階段重要的發(fā)展動(dòng)能。這將進(jìn)一步提升企業(yè)在金融科技、人工智能等前沿技術(shù)領(lǐng)域的創(chuàng)新能力,在日益激烈的市場(chǎng)競(jìng)爭(zhēng)環(huán)境中持續(xù)領(lǐng)跑

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。