首發現四種程式登錄漏洞 中大成首個亞洲團隊奪國際互聯網防禦獎
香港中文大學信息工程學系研究團隊早前以自家研發的系統,發現市面上網絡程式有七種登錄漏洞。
團隊早前因有關研究的論文,在美國獲Facebook 頒發國際互聯網防禦獎第三名,是首次有亞洲研究團隊獲此項國際榮譽。
單點式登錄簡稱 SSO(Single Sign-On),是一種透過社交網站進行認證,以簡化第三方應用程式的用戶認證及授權服務的程序。現時每天有數以億計的互聯網用戶使用 SSO 服務,但社交網站五花八門,第三方應用程式處理不同社交網站的要用不同方法,因此相關的軟件開發套件(SDKs)就出現,整理用家在不同社交媒體提供的資料,整合後幫助第三方應用程式進行認證工作。因此, SDKs 的安全性對網上安全亦變得愈來愈重要。
中大信息工程學系的研究團隊為此開發了一個高效的自動測試工具「S3KVetter」,以檢查 SSO SDKs 的漏洞。團隊其後測試了市場上十個被下載數百萬次的 SDKs 工具,發現出十種被廣泛使用的 SDKs 有七種的程序漏洞,當中四種更是從來不為人知的漏洞。
團隊然後發表論文,並在美國舉行的第27屆網絡安全會議(USENIX Security Symposium)上獲Facebook頒發互聯網防禦獎(Internet Defense Award)第三名,以及四萬美元研究資金,以表彰他們在加強單點式登錄安全系統算法方面的論文。據稱,這是首次有亞洲研究團隊獲此項國際榮譽。
研究團隊成員之一、中大信息工程學系教授劉永昌指,SSO SDKs 的研究十分重要,是次獲獎令工程學院非常鼓舞,反映中大在應用密碼學、網絡安全上已達致世界級水平。而對於獎金的用途,他希望可以利用資源完善測試工具,日後開放大眾使用,而學院未來亦會作相關的研究,例如日漸普及的流動支付系統(Mobile Payment)。
劉永昌又稱,測試工具所發現的7個漏洞已上報予10個 SDKs 的開發商,現已修正。他提醒,各程式開發者應盡責恆常更新 SDKs 的版本,才能夠避免被駭客利用已曝光漏洞入侵。而作為用家,亦應選擇值得信任、有能力及技術處理問題的第三方應用程式,免招損失。