中大工程学院发现网络程式登录漏洞 首个亚洲团队夺Facebook国际互联网防御奖

28.08.2018  23:31


香港中文大学(中大)信息工程学系的团队,日前在美国举行的第27届网络安全会议(USENIX Security Symposium)上获Facebook颁发 互联网防御奖 (Internet Defense Award)第三名,以及四万美元研究资金,以表彰他们对现有单点式登录(Single Sign-On,简称SSO)服务安全性研究的贡献。团队成员由四名信息工程学系师生组成,包括杨荣海博士、刘永昌教授、陈炯峄博士生及张克环教授。这是首次有亚洲研究团队获此项国际荣誉。

中大团队研发 S3KVetter 系统自动检测单点式登录软件开发套件  

中大团队的获奖论文题为「使用符号推理来检测单点式登录的软件开发套件之安全问题」。 SSO为互联网过分依赖密码的情况提供部分解决方案,用户只需在社交网站(如Facebook、谷歌、新浪、腾讯、百度等)进行一次性认证,便可使用其个人户口资料来登录第三方应用程式或网站(如OpenRice、 IMDb),体验高效而简易的互联网服务。现时每天都有数以亿计的互联网用户采用SSO服务,因此,相关的软件开发套件(Software Development Kits,SDKs)的安全性对网上安全也变得愈来愈重要。 

由于SSO涉及身分提供商、用户与第三方应用程式 / 网站之间的合作及协调,技术甚为复杂,也对研究SSO SDKs的安全性带来了不少挑战。中大研究团队设计并开发了一个高效的自动测试工具S3KVetter,以检查SSO SDKs的逻辑及安全漏洞。团队对市场上十个曾被网站及程式开发人员下载数百万次的SSO SDKs作测试,   以验证S3KVetter的功效。

S3KVetter 系统发现四个全新安全漏洞  

在此十个已经千锤百炼的SDKs之中,S3KVetter竟发现了七种逻辑漏洞,其中四种更是从未为人所知。 

中大信息工程学系应届毕业生团队成员杨荣海博士表示:「S3KVetter系统发现的四种新漏洞属于『零日』(zero-day)漏洞。零日漏洞通常是指还未堵塞的安全性漏洞,而零日攻击则是指利用这种漏洞进行的攻击。因此零日漏洞不但对网络安全具有巨大威胁,掌握多少零日漏洞也成为评价骇客技术水准的一个重要参数。骇客可以藉这些漏洞直接控制受害者的账号或窥视受害者的网上活动,后果不容忽视。」 

中大信息工程学系刘永昌教授表示:「网络安全及通讯科技一直是中大工程学院非常重要的研究范畴。是次获奖令我们非常鼓舞,并反映中大在应用密码学、网络安全及私隐方面的研究已达至世界水平,我期望未来中大师生及研究人员继续共同推进全球网络安全的发展。」

关于获奖研究之详细资料, 请浏览以下连结:
www.usenix.org/system/files/conference/usenixsecurity18/sec18-yang.pdf  

有关互联网防御奖

「互联网防御奖」是Facebook与美国高等计算机系统协会(USENIX)于2014年联合创办,旨在汇聚世界各地之网络保安学者、工程业界专家及研究人员,钻研网络个人资料管理及网络安全等课题论文,并表彰对互联网保护和防御作出重大贡献的团队。

「岭大校友日2023」吸引近300人聚首一堂 见证校园最新发展
岭大举办「校友日2023」,吸引近300位校友参加。岭南大学
岭南大学举办人工智能和大数据应用国际会议
一众嘉宾於「人工智能与大数据应用国际会议」上合照。岭南大学
岭大与小学携手推动乐龄科技教育与发明
岭大和博爱医院历届总理联谊会郑任安夫人学校举办乐龄岭南大学