USENIX Security 2018|同盾移动安全研究院首席科学家发表重磅论文
近日,同盾移动安全研究院首席科学家、复旦大学杨珉教授团队在信息安全领域顶级国际会议USENIX Security发表重磅论文,这是同盾科技移动安全研究院在国际学术领域首次亮相,标志着同盾科技在安全领域的学术研究水平已经达到国际一流水平。
杨珉教授(图右)与第一作者张晓寒博士
同盾移动安全研究院专注于主流移动操作系统、移动互联网应用以及物联网设备的前沿安全攻防技术研究和安全产品预研,是同盾反欺诈业务的重要组成部分。杨珉教授长期专注于移动系统安全领域的研究工作,担任国家973首席科学家、教育部青年长江学者、中国网络空间安全协会理事等学术职务。在国内率先开展移动系统安全问题研究,凭借程序分析技术领域的优势积累在系统安全缺陷检测和防护方法领域中取得了一系列的突破,形成较大的社会和学术影响力。
USENIX Security是信息安全领域四大顶级国际学术会议之一,始于上世纪90年代初。USENIX Security被中国计算机学会(CCF)归为“网络与信息安全”A类会议(共分为ABC三类,A类为最佳,指国际上极少数的顶级刊物和会议,鼓励我国研究人员去突破)。
近日在美国召开的USENIX Security 2018会议上,同盾移动安全研究院首席科学家杨珉教授团队发表了关于APP内嵌浏览器安全漏洞危害上亿用户隐私的论文:“An Empirical Study of Web Resource Manipulation in Real-world Mobile Applications”。
杨教授团队在论文中指出:
为了更好的支持手机软件(APP)使用云端服务,减少APP开发时针对不同型号智能手机的适应性定制,主流的手机操作系统(安卓和苹果iOS)均支持通过APP内嵌浏览器访问云端内容。目前大部分移动应用中会都会使用这种机制来访问各式各样的云服务,包括授权认证、社交分享、广告插件等。这种APP和云服务的交互模式,使得开发过程变得简单且具有较好的可移植性与可维护性,同时经过长时间潜移默化的用户教育,用户也已经非常习惯这种交互方式,但是其中蕴含的安全风险却尚未引起足够重视。被APP加载的云端服务,可以被APP完全控制,用户在使用该服务时涉及的所有敏感数据,都可以被APP捕获甚至恶意操纵。”针对这种新型的安全威胁,研究团队研发了一款自动化检测工具,检测了Google Play应用商城8万多款热门应用,发现约有5%的APP会操作不属于其自身主体的云端数据。更为严重的是,发现了几十个安卓应用和多个iOS应用,都存在明显的恶意攻击行为,包括窃取用户名和密码、盗取并滥用cookie以及伪造其他合法应用等行为。进一步的数据分析表明,目前应用商城、云服务提供者以及用户,都没有意识到这种内嵌浏览器存在这类安全漏洞;事实上,上述发现的恶意应用仅在Google Play的下载安装量就已经超过了上亿次,危害范围非常广泛。
这一研究成果正式发表后,引起了Google和苹果的高度重视,但因为这类漏洞的形成机理,涉及到操作系统和相应的APP编程模型,目前无法通过安全补丁方式修补,现仅能以下架相关软件进行处理。同盾移动安全研究院希望通过这项研究工作,帮助移动社区认知和重视APP内嵌浏览器的安全风险,在APP开发环节中重视云端服务和数据的防护,避免用户敏感数据的大范围泄露。
近两年,同盾科技加强了对高端人才引进的步伐,其中不乏许多在行业内处于国内乃至全球顶尖地位的人才。同时,随着生态布局的不断丰富,同盾科技对于人才的需求也变得更多样化,从学术研究、基础科学研究、技术应用开发到行业观察分析等各细分领域的人才,都是同盾广泛招募的对象。
作为一家科技驱动的企业,人才一直都是同盾最核心的战略资源,杨珉教授的学术成果充分表明,某一领域的核心人才发挥的价值和能量越来越重要,今年以来,同盾在引才方面保持量质齐飞,日益丰沛的人才资源将是在同盾新的发展阶段重要的发展动能。
了解同盾更多讯息:
免费建模学习+30万奖金+工作岗位机会,声纹识别建模大赛正式开启报名
加速AI技术落地,同盾科技与西北工业大学共建智能语音技术联合实验室
• end •
关注 | 长按扫码