报告人简介:
张玉清,中国科学院大学/中关村实验室教授/博导,国家计算机网络入侵防范中心主任,主要从事网络与系统安全方面的研究,发表SCI/EI论文100余篇,其中有ACM CCS、USENIX SECURITY、IEEE S&P、NDSS、TDSC等,制定国家及行业标准7个,先后承担国家重点研发计划项目、国家自然科学基金重点项目、国家242信息安全计划项目等课题,主要研究方向:网络攻击与防御、安全漏洞挖掘与利用、人工智能与安全、物联网安全等。
内容摘要:
移动应用中,个人身份信息(PII,如身份证号等),也常被作为一种附加认证因素来认证用户身份。我们研究发现这些应用面临着一种新的安全威胁:应用程序的同时使用和业务关联将使目标应用程序的身份认证强度变弱。攻击者在拥有身份认证因素少于所需身份认证因素的情况下,可以通过从其他应用中收集PII或滥用跨应用程序授权从而来突破身份认证。我们设计了一个半自动化系统并测量了234个应用,发现有75.4%的手机应用的身份认证系统可以被突破或者绕过,包括支付宝、微信、银联等应用,从而导致用户账户被劫持、未经授权的购买等严重后果。最后,我们向厂商报告了我们的发现,并提出了风险缓解措施。
欢迎广大师生参加!
信息科学与工程学院(软件学院)
2024年8月10日