2022年信息安全范畴四大顶会之一USENIX Security拉开帷幕。

今年又有好音讯传来——复旦大学教授杨珉等研讨员宣布的论文被评为“出色论文奖”。

USENIX Security，始于上世纪90年代初，被我国计算机学会（CCF）认定为网络安全A类世界学术会议，据广州大学统计，过去30年国内仅有20篇左右成果在该世界会议宣布，宣布难度极高。

作者之一杨珉教授长时间从事信息安全范畴研讨，得知获奖音讯后表示：

让我们先来重视一下这篇获奖论文研讨了什么？

研讨内容

互联网年代下，每个人的手机里简直都装置了很多的APP，而本篇论文聚焦的便是这些APP背面的安全漏洞问题。

许多APP在开发的时候，就会把一些不那么核心的功用托付给其他平台完结，自己专注于服务现有用户和招引新用户。

而这些被托付出去的功用也被称为“子APP”，常见的莫过于微信小程序。

微信便是一个很典型的比如，从刚出现时简直只要聊天功用，到现在成了一个超级巨无霸。

功用越来越齐全的背面是380万个被托管出去的子APP，这一数量甚至超过了谷歌Play中所有安卓使用的总数。

这些子APP不仅能像一般APP相同加载第三方资源，还能够拜访APP提供的特权API（Application Program Interface）。

但就引出了一个重要的研讨问题——究竟哪些子APP能够拜访这些特权API？

研讨人员发现，现行的APP往往选用3种身份来确定API拜访权限——即网络域、子APP的ID和功用。

然而在实践使用中，由于这3种身份核实的办法都存在一定问题，所以经常会放过一些“漏网”的子APP，这一概念在论文中被初次界说为“身份混杂（identity confusion）”。

为了搞清这一问题，他们研讨了47个流行APP基于webview的攻击和防御机制，如抖音、微信、支付宝、今天头条等。

结果显现，上述的三种身份混杂在所有47个被研讨的APP中普遍存在。

更重要的是，这种混杂会导致严重的结果，比如某些子APP会暗中操纵用户的财务账户，在手机上装置歹意软件等等。

别的，研讨团队还负责任地向以上APP的开发者们报告了这一结果，并协助他们进行漏洞修复。

研讨团队

本篇论文来自复旦大学和约翰斯·霍普金斯大学的研讨团队。

共同一作是复旦大学的博士生张智搏和助理研讨员张磊。

张磊，复旦大学系统软件与安全实验室助理研讨员，曾获得ACMSIGSAC我国优博奖和ACM我国优博提名奖。

主要在移动安全、系统安全和区块链安全范畴进行安全漏洞相关研讨，包含程序代码剖析技能、软件自动化测验技能以及漏洞发掘技能等。

别的，值得一提的是杨珉教授，现任复旦大学计算机科学技能学院科研副院长、教授、博士生导师。

在国内率先开展移动生态系统安全问题研讨，研讨方向主要包含歹意代码检测、漏洞剖析发掘、安全、区块链安全、Web 安全和系统安全机制等。