2022年信息安全范疇四大頂會之一USENIX Security拉開帷幕。

今年又有好消息傳來——復旦大學教授楊珉等研討員宣布的論文被評為“杰出論文獎”。

USENIX Security，始于上世紀90年代初，被中國計算機學會（CCF）認定為網絡安全A類國際學術會議，據廣州大學統計，曩昔30年國內僅有20篇左右成果在該國際會議宣布，宣布難度極高。

作者之一楊珉教授長期從事信息安全范疇研討，得知獲獎消息后表明：

讓我們先來重視一下這篇獲獎論文研討了什么？

研討內容

互聯網年代下，每個人的手機里簡直都裝置了大量的APP，而本篇論文聚集的便是這些APP背面的安全縫隙問題。

許多APP在開發的時分，就會把一些不那么核心的功用委托給其他平臺完成，自己專心于服務現有用戶和吸引新用戶。

而這些被委托出去的功用也被稱為“子APP”，常見的莫過于微信小程序。

微信便是一個很典型的比方，從剛出現時簡直只要聊天功用，到現在成了一個超級巨無霸。

功用越來越完全的背面是380萬個被保管出去的子APP，這一數量乃至超過了谷歌Play中所有安卓使用的總數。

這些子APP不僅能像一般APP相同加載第三方資源，還能夠拜訪APP供給的特權API（Application Program Interface）。

但就引出了一個重要的研討問題——究竟哪些子APP能夠拜訪這些特權API？

研討人員發現，現行的APP往往采用3種身份來確定API拜訪權限——即網絡域、子APP的ID和功用。

然而在實踐使用中，由于這3種身份核實的方法都存在必定問題，所以經常會放過一些“漏網”的子APP，這一概念在論文中被初次定義為“身份混雜（identity confusion）”。

為了搞清這一問題，他們研討了47個盛行APP根據webview的進犯和防御機制，如抖音、微信、支付寶、今天頭條等。

成果顯現，上述的三種身份混雜在所有47個被研討的APP中普遍存在。

更重要的是，這種混雜會導致嚴重的結果，比方某些子APP會暗中操作用戶的財政賬戶，在手機上裝置惡意軟件等等。

別的，研討團隊還負責任地向以上APP的開發者們報告了這一成果，并協助他們進行縫隙修正。

研討團隊

本篇論文來自復旦大學和約翰斯·霍普金斯大學的研討團隊。

一起一作是復旦大學的博士生張智搏和助理研討員張磊。

張磊，復旦大學系統軟件與安全實驗室助理研討員，曾獲得ACMSIGSAC中國優博獎和ACM中國優博提名獎。

主要在移動安全、系統安全和區塊鏈安全范疇進行安全縫隙相關研討，包括程序代碼分析技能、軟件自動化測驗技能以及縫隙挖掘技能等。

別的，值得一提的是楊珉教授，現任復旦大學計算機科學技能學院科研副院長、教授、博士生導師。

在國內率先開展移動生態系統安全問題研討，研討方向主要包括惡意代碼檢測、縫隙分析挖掘、安全、區塊鏈安全、Web 安全和系統安全機制等。