出行时,我们扫码乘车;就餐时,我们通过扫码点餐;去政务大厅办事时,我们扫码了解办事指南……在我们的日常生活中,通过“扫一扫”启动各类小程序,变成每天出行的日常。餐饮、购物、生活服务,覆盖细分行业、多元化的移动应用小程序,被越来越多的用户接受。但是它安全吗?
日前,复旦大学计算机科学技术学院杨珉教授领衔的系统与软件安全实验室发表的论文“Identity Confusion in WebView-based Mobile App-in-app Ecosystems”,荣获网络安全国际顶尖学术会议31st USENIX Security Symposium杰出论文奖(Distinguished Paper Award)。该论文聚焦移动应用小程序的生态安全问题,揭示微信、支付宝、抖音、今日头条等一批主流软件面临的安全威胁,帮助避免数十亿用户的信息安全风险。
USENIX Security是信息安全领域四大顶级学术会议之一,始于上世纪90年代初,已有30余年历史,对信息安全领域具有重要影响,因录取率很低,发表难度很高,被中国计算机学会认定为网络安全A类国际学术会议。
得知获奖后杨珉向团队表示祝贺
本年度,该顶级学术会议(以下简称“顶会”)投稿总计1414篇,收录256篇。杨珉团队荣获的“杰出论文奖”更是竞争激烈,由评审委员会从256篇录用论文中遴选产生。值得一提的是,这也是该顶会创办30多年来大陆高校第一次获此殊荣。
论文第一作者是杨珉教授指导的博士生张磊,现为网络空间国际治理研究基地助理研究员,主要从事移动生态安全治理技术研究。
论文第一作者张磊
关注小程序这一互联网新物种
2017年,“小程序”这种移动应用新形态诞生,至今已有几年。它首先在国内火爆起来,国内新兴的互联网技术出现速度已经快于国外。但同时,它的发展速度过快,还没有经过足够长时间积累来验证安全性。在小程序出现时,张磊所在团队对这种移动应用新形态投入关注度,并提出想法:这种突然火爆起来的小程序安全性究竟如何?
App-in-app生态组成示意图
随着国内外移动端流行app功能日趋丰富,一部分流行app逐渐推出小程序或者类小程序功能,选择将自身业务逻辑开放给第三方小程序开发者使用,以基于此构建大量的轻量化子应用,形成了紧密结合的App-in-app生态(国内称其为小程序生态)。
对小程序来说,不仅可以从各个三方云服务器中动态加载代码运行,还能够利用宿主应用(如支付宝、微信等)提供的各种功能接口访问敏感系统资源(例如麦克风,摄像头,地理位置等)以及用户隐私数据(如联系人、出行记录、交易记录等)。
投入安全分析与研究
大量小程序纷纷出现,几乎涉及社会服务和管理的方方面面,如出行、消费、亲子、疫情防控、政务管理等。
“当新的应用形态出现后,它的安全性如何?缺少比较好的回答。”带着这个想法,2019年团队开始针对小程序开展大规模、深层次的安全分析。“用户数越多,形成的数据量越多,安全保障的重要性越大”,张磊说。
团队关注微信、支付宝、抖音、Microsoft Teams、Go-jek等国内外主要移动应用、相应小程序、小程序支持功能。根据团队采集到的数据,国内的微信、支付宝上小程序的体量基本上在数百万小程序量级上,应用规模已经大于很多移动应用市场。
研究中,团队发现这些小程序平台在构建小程序生态环境时,使用了应用内置浏览器(WebView)这个开源技术组件作为它的基础运行环境。以此出发,团队结合软件供应链安全的思想,针对小程序生态所依赖的WebView开展深度安全分析。
该论文展示的其中一种漏洞原理
通过分析WebView的代码、逻辑、基础架构的软件行为,团队发现一批普遍影响各类小程序框架中的访问控制漏洞问题(Identity Confusion),利用这些漏洞,黑客可以悄无声息地溜进受害者使用的宿主应用中,越权调用特权接口,泄露用户敏感数据、控制用户账户等。
在此基础上,研究团队针对主流应用市场47个流行宿主应用(微信、支付宝、抖音、今日头条等),展开漏洞验证和安全危害分析,证实这些应用的安卓版本和iOS版本均受这些漏洞影响,对广大用户群体产生严重安全威胁。
提供漏洞修复方案
“发现问题并不是为了去攻击它,而是为了让这些软件变得更好、更安全。”
2021年,团队花了近一年时间,与国家信息安全漏洞共享平台CNVD、涉及厂商积极协作,帮助他们做漏洞修复,以共同维护小程序生态中的用户信息安全。基于此,团队根据漏洞研究报告、漏洞验证与漏洞修复,总结出漏洞的基本原理,形成了这篇科研论文。
该团队获评2019年度复旦大学十佳三好导学团队
自2013年开始,杨珉教授领衔的团队就在移动安全(包括移动端用户隐私安全上)做科学研究,此次论文既是他们在用户隐私安全研究上取得的新成果,也是近几年来取得的一项技术突破。2019年,该团队也获得复旦大学十佳导学团队的称号。由团队内学生为主组建的白泽战队也是国内首支连续两年获得全国大学生信息安全竞赛创新实践能力赛总冠军的队伍。
“近年来,国内移动互联网发展迅速,伴随着的网络安全问题出现在不同场景,希望能在移动安全领域做好做强,做出复旦的特色。”张磊说。