中大新聞中心
中大工程學院發現網絡程式登錄漏洞首個亞洲團隊奪Facebook國際互聯網防禦獎
香港中文大學(中大)信息工程學系的團隊,日前在美國舉行的第27屆網絡安全會議(USENIX Security Symposium)上獲Facebook頒發互聯網防禦獎(Internet Defense Award)第三名,以及四萬美元研究資金,以表彰他們對現有單點式登錄(Single Sign-On,簡稱SSO)服務安全性研究的貢獻。團隊成員由四名信息工程學系師生組成,包括楊榮海博士、劉永昌教授、陳炯嶧博士生及張克環教授。這是首次有亞洲研究團隊獲此項國際榮譽。
中大團隊研發S3KVetter系統自動檢測單點式登錄軟件開發套件
中大團隊的獲獎論文題為「使用符號推理來檢測單點式登錄的軟件開發套件之安全問題」。 SSO為互聯網過分依賴密碼的情況提供部分解決方案,用戶只需在社交網站(如Facebook、谷歌、新浪、騰訊、百度等)進行一次性認證,便可使用其個人戶口資料來登錄第三方應用程式或網站(如OpenRice、 IMDb),體驗高效而簡易的互聯網服務。現時每天都有數以億計的互聯網用戶採用SSO服務,因此,相關的軟件開發套件(Software Development Kits,SDKs)的安全性對網上安全也變得愈來愈重要。
由於SSO涉及身分提供商、用戶與第三方應用程式 / 網站之間的合作及協調,技術甚為複雜,也對研究SSO SDKs的安全性帶來了不少挑戰。中大研究團隊設計並開發了一個高效的自動測試工具S3KVetter,以檢查SSO SDKs的邏輯及安全漏洞。團隊對市場上十個曾被網站及程式開發人員下載數百萬次的SSO SDKs作測試, 以驗證S3KVetter的功效。
S3KVetter系統發現四個全新安全漏洞
在此十個已經千錘百鍊的SDKs之中,S3KVetter竟發現了七種邏輯漏洞,其中四種更是從未為人所知。
中大信息工程學系應屆畢業生團隊成員楊榮海博士表示:「S3KVetter系統發現的四種新漏洞屬於『零日』(zero-day)漏洞。零日漏洞通常是指還未堵塞的安全性漏洞,而零日攻擊則是指利用這種漏洞進行的攻擊。因此零日漏洞不但對網絡安全具有巨大威脅,掌握多少零日漏洞也成為評價駭客技術水準的一個重要參數。駭客可以藉這些漏洞直接控制受害者的賬號或窺視受害者的網上活動,後果不容忽視。」
中大信息工程學系劉永昌教授表示:「網絡安全及通訊科技一直是中大工程學院非常重要的研究範疇。是次獲獎令我們非常鼓舞,並反映中大在應用密碼學、網絡安全及私隱方面的研究已達至世界水平,我期望未來中大師生及研究人員繼續共同推進全球網絡安全的發展。」
關於獲獎研究之詳細資料, 請瀏覽以下連結:
www.usenix.org/system/files/conference/usenixsecurity18/sec18-yang.pdf
有關互聯網防禦獎
「互聯網防禦獎」是Facebook與美國高等計算機系統協會(USENIX)於2014年聯合創辦,旨在匯聚世界各地之網絡保安學者、工程業界專家及研究人員,鑽研網絡個人資料管理及網絡安全等課題論文,並表彰對互聯網保護和防禦作出重大貢獻的團隊。