同盾科技首席科學家團隊論文被USENIX Security 2018收錄

楊珉教授(圖右)與第一作者張曉寒博士

近日,在信息安全領域頂級國際會議USENIX Security中同盾移動安全研究院首席科學家、復旦大學楊珉教授團隊發(fā)表了重磅論文,這是同盾科技移動安全研究院在國際學術領域首次亮相,標志著同盾科技在安全領域的學術研究水平已經達到國際一流水平。

同盾移動安全研究院專注于主流移動操作系統(tǒng)、移動互聯(lián)網應用以及物聯(lián)網設備的前沿安全攻防技術研究和安全產品預研,是同盾反欺詐業(yè)務的重要組成部分,楊珉教授自五月起受邀擔任同盾移動安全研究院首席科學家。楊珉教授長期專注于移動系統(tǒng)安全領域的研究工作,擔任國家973首席科學家、教育部青年長江學者、中國網絡空間安全協(xié)會理事等學術職務。在國內率先開展移動系統(tǒng)安全問題研究,憑借程序分析技術領域的優(yōu)勢積累在系統(tǒng)安全缺陷檢測和防護方法領域中取得了一系列的突破,形成較大的社會和學術影響力。

USENIX Security是信息安全領域四大頂級國際學術會議之一,始于上世紀90年代初。USENIX Security被中國計算機學會(CCF)歸為“網絡與信息安全”A類會議(共分為ABC三類,A類為最佳,指國際上極少數的頂級刊物和會議,鼓勵我國研究人員去突破)。

近日在美國召開的USENIX Security 2018會議上,同盾移動安全研究院首席科學家楊珉教授團隊發(fā)表了關于APP內嵌瀏覽器安全漏洞危害上億用戶隱私的論文:“An Empirical Study of Web Resource Manipulation in Real-world Mobile Applications”。

楊教授團隊在論文中指出:“為了更好的支持手機軟件(APP)使用云端服務,減少APP開發(fā)時針對不同型號智能手機的適應性定制,主流的手機操作系統(tǒng)(安卓和蘋果iOS)均支持通過APP內嵌瀏覽器訪問云端內容。目前大部分移動應用中會都會使用這種機制來訪問各式各樣的云服務,包括授權認證、社交分享、廣告插件等。這種APP和云服務的交互模式,使得開發(fā)過程變得簡單且具有較好的可移植性與可維護性,同時經過長時間潛移默化的用戶教育,用戶也已經非常習慣這種交互方式,但是其中蘊含的安全風險卻尚未引起足夠重視。被APP加載的云端服務,可以被APP完全控制,用戶在使用該服務時涉及的所有敏感數據,都可以被APP捕獲甚至惡意操縱。”針對這種新型的安全威脅,研究團隊研發(fā)了一款自動化檢測工具,檢測了Google Play應用商城8萬多款熱門應用,發(fā)現約有5%的APP會操作不屬于其自身主體的云端數據。更為嚴重的是,發(fā)現了幾十個安卓應用和多個iOS應用,都存在明顯的惡意攻擊行為,包括竊取用戶名和密碼、盜取并濫用cookie以及偽造其他合法應用等行為。進一步的數據分析表明,目前應用商城、云服務提供者以及用戶,都沒有意識到這種內嵌瀏覽器存在這類安全漏洞;事實上,上述發(fā)現的惡意應用僅在Google Play的下載安裝量就已經超過了上億次,危害范圍非常廣泛。

這一研究成果正式發(fā)表后,引起了Google和蘋果的高度重視,但因為這類漏洞的形成機理,涉及到操作系統(tǒng)和相應的APP編程模型,目前無法通過安全補丁方式修補,現僅能以下架相關軟件進行處理。同盾移動安全研究院希望通過這項研究工作,幫助移動社區(qū)認知和重視APP內嵌瀏覽器的安全風險,在APP開發(fā)環(huán)節(jié)中重視云端服務和數據的防護,避免用戶敏感數據的大范圍泄露。

楊珉教授擔任同盾移動安全研究院首席科學家后,結合同盾在實際商業(yè)場景中的應用,帶領團隊共同在移動安全領域取得了基礎理論和核心技術的突破,加速產學研聯(lián)動,縮短科技轉化的路徑,進一步將科研創(chuàng)新成果轉化落地。

在金融科技不斷發(fā)展的今天,同盾始終著眼于人才發(fā)展戰(zhàn)略,在吸引人才、引進高精尖人才上始終不遺余力。同時,隨著生態(tài)布局的不斷豐富,同盾科技對于人才的需求也變得更多樣化,從學術研究、基礎科學研究、技術應用開發(fā)到行業(yè)觀察分析等各細分領域的人才,都是同盾廣泛招募的對象。

作為一家科技驅動的企業(yè),人才一直都是同盾最核心的戰(zhàn)略資源,楊珉教授的學術成果充分表明,某一領域的核心人才發(fā)揮的價值和能量越來越重要。同盾堅持的構建具有國際競爭力的引才用才機制及日益豐沛的人才資源將是在同盾新的發(fā)展階段重要的發(fā)展動能。這將進一步提升企業(yè)在金融科技、人工智能等前沿技術領域的創(chuàng)新能力,在日益激烈的市場競爭環(huán)境中持續(xù)領跑

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。