近日,同盾移動安全研究院首席科學家、復旦大學楊珉教授團隊在信息安全領域頂級國際會議
USENIX Security發表重磅論文,這是同盾科技移動安全研究院在國際學術領域首次亮相,標誌著同盾科技在安全領域的學術研究水平已經達到國際一流水平。
楊珉教授(圖右)與第一作者張曉寒博士
同盾移動安全研究院專注於主流移動操作系統、移動互聯網應用以及物聯網設備的前沿安全攻防技術研究和安全產品預研,是同盾反欺詐業務的重要組成部分。楊珉教授長期專注於移動系統安全領域的研究工作,擔任國家973首席科學家、教育部青年長江學者、中國網絡空間安全協會理事等學術職務。在國內率先開展移動系統安全問題研究,憑藉程序分析技術領域的優勢積累在系統安全缺陷檢測和防護方法領域中取得了一系列的突破,形成較大的社會和學術影響力。
USENIX Security是信息安全領域四大頂級國際學術會議之一,始於上世紀90年代初。USENIX Security被中國計算機學會(CCF)歸為“網絡與信息安全”A類會議(共分為ABC三類,A類為最佳,指國際上極少數的頂級刊物和會議,鼓勵我國研究人員去突破)。
近日在美國召開的USENIX Security 2018會議上,同盾移動安全研究院首席科學家楊珉教授團隊發表了關於APP內嵌瀏覽器安全漏洞危害上億用戶隱私的論文:“An Empirical Study of Web Resource Manipulation in Real-world Mobile Applications”。
楊教授團隊在論文中指出:
為了更好的支持手機軟件(APP)使用雲端服務,減少APP開發時針對不同型號智能手機的適應性定製,主流的手機操作系統(安卓和蘋果iOS)均支持通過APP內嵌瀏覽器訪問雲端內容。目前大部分移動應用中會都會使用這種機制來訪問各式各樣的雲服務,包括授權認證、社交分享、廣告插件等。這種APP和雲服務的交互模式,使得開發過程變得簡單且具有較好的可移植性與可維護性,同時經過長時間潛移默化的用戶教育,用戶也已經非常習慣這種交互方式,但是其中蘊含的安全風險卻尚未引起足夠重視。被APP加載的雲端服務,可以被APP完全控制,用戶在使用該服務時涉及的所有敏感數據,都可以被APP捕獲甚至惡意操縱。”針對這種新型的安全威脅,研究團隊研發了一款自動化檢測工具,檢測了Google Play應用商城8萬多款熱門應用,發現約有5%的APP會操作不屬於其自身主體的雲端數據。更為嚴重的是,發現了幾十個安卓應用和多個iOS應用,都存在明顯的惡意攻擊行為,包括竊取用戶名和密碼、盜取並濫用cookie以及偽造其他合法應用等行為。進一步的數據分析表明,目前應用商城、雲服務提供者以及用戶,都沒有意識到這種內嵌瀏覽器存在這類安全漏洞;事實上,上述發現的惡意應用僅在Google Play的下載安裝量就已經超過了上億次,危害範圍非常廣泛。
這一研究成果正式發表後,引起了Google和蘋果的高度重視,但因為這類漏洞的形成機理,涉及到操作系統和相應的APP編程模型,目前無法通過安全補丁方式修補,現僅能以下架相關軟件進行處理。同盾移動安全研究院希望通過這項研究工作,幫助移動社區認知和重視APP內嵌瀏覽器的安全風險,在APP開發環節中重視雲端服務和數據的防護,避免用戶敏感數據的大範圍洩露。
近兩年,同盾科技加強了對高端人才引進的步伐,其中不乏許多在行業內處於國內乃至全球頂尖地位的人才。同時,隨著生態佈局的不斷豐富,同盾科技對於人才的需求也變得更多樣化,從學術研究、基礎科學研究、技術應用開發到行業觀察分析等各細分領域的人才,都是同盾廣泛招募的對象。
作為一家科技驅動的企業,人才一直都是同盾最核心的戰略資源,楊珉教授的學術成果充分表明,某一領域的核心人才發揮的價值和能量越來越重要,今年以來,同盾在引才方面保持量質齊飛,日益豐沛的人才資源將是在同盾新的發展階段重要的發展動能。
閱讀更多 智能風控聯盟 的文章
