移动互联网安全 视频(移动互联网安全论文)

 

互联网小常识：构建宽带城域网的方法有三种：基于SDH的宽带城域网方案、基于10GE的宽带城域网方案和基于ATM的宽带城域网方案。

羿阁 发自 凹非寺

量子位 | 公众号 QbitAI

2022年信息安全领域四大顶会之一USENIX Security拉开帷幕。

今年又有好消息传来——复旦大学教授杨珉等研究员发表的论文被评为杰出论文奖。

USENIX Security，始于上世纪90年代初，被中国计算机学会（CCF）认定为网络安全A类国际学术会议，据广州大学统计，过去30年国内仅有20篇左右成果在该国际会议发表，发表难度极高。

作者之一杨珉教授长期从事信息安全领域研究，得知获奖消息后表示：

从13年发表国内第一第二篇网安顶会ccs的移动安全研究论文，十年筚路蓝缕，我们还要更进一步！

让我们先来关注一下这篇获奖论文研究了什么？

研究内容

互联网时代下，每个人的手机里几乎都安装了大量的APP，而本篇论文聚焦的就是这些APP背后的安全漏洞问题。

许多APP在开发的时候，就会把一些不那么核心的功能委托给其他平台完成，自己专注于服务现有用户和吸引新用户。

而这些被委托出去的功能也被称为子APP，最常见的莫过于微信小程序。

微信就是一个很典型的例子，从刚出现时几乎只有聊天功能，到现在成了一个超级巨无霸。

互联网小常识：计算机病毒的主要特征：非授权可执行性、隐蔽性、传染性、潜伏性、表现性或破坏性、可触发性。

功能越来越齐全的背后是380万个被托管出去的子APP，这一数量甚至超过了谷歌Play中所有安卓应用的总数。

这些子APP不仅能像普通APP一样加载第三方资源，还可以访问APP提供的特权API（Application Program Interface）。

但就引出了一个重要的研究问题——究竟哪些子APP可以访问这些特权API？

研究人员发现，现行的APP往往采用3种身份来确定API访问权限——即网络域、子APP的ID和功能。

互联网小常识：以太网组网的基本方法：IEEE802.3标准定义了以太网MAC层和物理层的协议标准。Mac层均采用CSMA/CD方法和相同的帧结构。但不同的以太网在物理层的实现方式却不同。传统以太网的物理层标准定义方式为IEEE802.3 x Type-y name。其中x表示传输速率单位为Mbps，Type表示传输方式是基带还是频带，y为网段最大长度单位是100m，name表示局域网名称。

然而在实际应用中，由于这3种身份核实的方法都存在一定问题，所以经常会放过一些漏网的子APP，这一概念在论文中被首次定义为身份混淆（identity confusion）。

为了搞清这一问题，他们研究了47个流行APP基于webview的攻击和防御机制，如抖音、微信、支付宝、今日头条等。

结果显示，上述的三种身份混淆在所有47个被研究的APP中普遍存在。

更重要的是，这种混淆会导致严重的后果，比如某些子APP会暗中操纵用户的财务账户，在手机上安装恶意软件等等。

另外，研究团队还负责任地向以上APP的开发者们报告了这一结果，并帮助他们进行漏洞修复。

研究团队

本篇论文来自复旦大学和约翰斯·霍普金斯大学的研究团队。

共同一作是复旦大学的博士生张智搏和助理研究员张磊。

张磊，复旦大学系统软件与安全实验室助理研究员，曾获得ACMSIGSAC中国优博奖和ACM中国优博提名奖。

主要在移动安全、系统安全和区块链安全领域进行安全漏洞相关研究，包括程序代码分析技术、软件自动化测试技术以及漏洞挖掘技术等。

另外，值得一提的是杨珉教授，现任复旦大学计算机科学技术学院科研副院长、教授、博士生导师。

在国内率先开展移动生态系统安全问题研究，研究方向主要包括恶意代码检测、漏洞分析挖掘、安全、区块链安全、Web 安全和系统安全机制等。

参考链接：[1]https://secsys.fudan.edu.cn/26979/list.htm[2]https://www.usenix.org/conference/usenixsecurity22/technical-sessions[3]http://jsj.gzhu.edu.cn/info/1027/2516.htm[4]https://weibo.com/2280128311/M0uPPEApT?

— 完 —

量子位 QbitAI · 头条号签约

关注我们，第一时间获知前沿科技动态

互联网小常识：支持全双工模式的快速以太网的拓扑结构一定是星型的。

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186