研究員發現小程序典型安全漏洞，微信支付寶都中槍

2022年信息安全領域四大頂會之一USENIX Security拉開帷幕。

今年又有好消息傳來——復旦大學教授楊珉等研究員發表的論文被評為“杰出論文獎”。

USENIX Security，始于上世紀90年代初，被中國計算機學會（CCF）認定為網絡安全A類國際學術會議，據廣州大學統計，過去30年國內僅有20篇左右成果在該國際會議發表，發表難度極高。

作者之一楊珉教授長期從事信息安全領域研究，得知獲獎消息后表示：

從13年發表國內第一第二篇網安頂會ccs的移動安全研究論文，十年篳路藍縷，我們還要更進一步！

讓我們先來關注一下這篇獲獎論文研究了什么？

研究內容

互聯網時代下，每個人的手機里幾乎都安裝了大量的APP，而本篇論文聚焦的就是這些APP背后的安全漏洞問題。

許多APP在開發的時候，就會把一些不那么核心的功能委托給其他平臺完成，自己專注于服務現有用戶和吸引新用戶。

而這些被委托出去的功能也被稱為“子APP”，最常見的莫過于微信小程序。

微信就是一個很典型的例子，從剛出現時幾乎只有聊天功能，到現在成了一個超級巨無霸。

功能越來越齊全的背后是380萬個被托管出去的子APP，這一數量甚至超過了谷歌Play中所有安卓應用的總數。

這些子APP不僅能像普通APP一樣加載第三方資源，還可以訪問APP提供的特權API（Application Program Interface）。

但就引出了一個重要的研究問題——究竟哪些子APP可以訪問這些特權API？

研究人員發現，現行的APP往往采用3種身份來確定API訪問權限——即網絡域、子APP的ID和功能。

然而在實際應用中，由于這3種身份核實的方法都存在一定問題，所以經常會放過一些“漏網”的子APP，這一概念在論文中被首次定義為“身份混淆（identity confusion）”。

為了搞清這一問題，他們研究了47個流行APP基于webview的攻擊和防御機制，如抖音、微信、支付寶、今日頭條等。

結果顯示，上述的三種身份混淆在所有47個被研究的APP中普遍存在。

更重要的是，這種混淆會導致嚴重的后果，比如某些子APP會暗中操縱用戶的財務賬戶，在手機上安裝惡意軟件等等。

另外，研究團隊還負責任地向以上APP的開發者們報告了這一結果，并幫助他們進行漏洞修復。

研究團隊

本篇論文來自復旦大學和約翰斯·霍普金斯大學的研究團隊。