出行時，計算機科件安我們掃碼乘車；就餐時，學技我們通過掃碼點餐；去政務大廳辦事時，術學我們掃碼了解辦事指南……在我們的院系驗室日常生活中，通過“掃一掃”啟動各類小程序，統軟變成每天出行的全實日常。餐飲、發表購物、文榮文獎生活服務，獲頂會杰覆蓋細分行業、出論多元化的計算機科件安移動應用小程序，被越來越多的學技用戶接受。但是術學它安全嗎？

日前，復旦大學計算機科學技術學院楊珉教授領銜的院系驗室系統與軟件安全實驗室發表的論文“Identity Confusion in WebView-based Mobile App-in-app Ecosystems”，榮獲網絡安全國際頂尖學術會議31st USENIX Security Symposium杰出論文獎(Distinguished Paper Award)。統軟該論文聚焦移動應用小程序的生態安全問題，揭示微信、支付寶、抖音、今日頭條等一批主流軟件面臨的安全威脅，幫助避免數十億用戶的信息安全風險。

USENIX Security是信息安全領域四大頂級學術會議之一，始于上世紀90年代初，已有30余年歷史，對信息安全領域具有重要影響，因錄取率很低，發表難度很高，被中國計算機學會認定為網絡安全A類國際學術會議。

得知獲獎后楊珉向團隊表示祝賀

本年度，該頂級學術會議（以下簡稱“頂會”）投稿總計1414篇，收錄256篇。楊珉團隊榮獲的“杰出論文獎”更是競爭激烈，由評審委員會從256篇錄用論文中遴選產生。值得一提的是，這也是該頂會創辦30多年來大陸高校第一次獲此殊榮。

論文第一作者是楊珉教授指導的博士生張磊，現為網絡空間國際治理研究基地助理研究員，主要從事移動生態安全治理技術研究。

論文第一作者張磊

關注小程序這一互聯網新物種

2017年，“小程序”這種移動應用新形態誕生，至今已有幾年。它首先在國內火爆起來，國內新興的互聯網技術出現速度已經快于國外。但同時，它的發展速度過快，還沒有經過足夠長時間積累來驗證安全性。在小程序出現時，張磊所在團隊對這種移動應用新形態投入關注度，并提出想法：這種突然火爆起來的小程序安全性究竟如何？

App-in-app生態組成示意圖

隨著國內外移動端流行app功能日趨豐富，一部分流行app逐漸推出小程序或者類小程序功能，選擇將自身業務邏輯開放給第三方小程序開發者使用，以基于此構建大量的輕量化子應用，形成了緊密結合的App-in-app生態（國內稱其為小程序生態）。

對小程序來說，不僅可以從各個三方云服務器中動態加載代碼運行，還能夠利用宿主應用（如支付寶、微信等）提供的各種功能接口訪問敏感系統資源（例如麥克風，攝像頭，地理位置等）以及用戶隱私數據（如聯系人、出行記錄、交易記錄等）。

投入安全分析與研究

大量小程序紛紛出現，幾乎涉及社會服務和管理的方方面面，如出行、消費、親子、疫情防控、政務管理等。

“當新的應用形態出現后，它的安全性如何？缺少比較好的回答。”帶著這個想法，2019年團隊開始針對小程序開展大規模、深層次的安全分析。“用戶數越多，形成的數據量越多，安全保障的重要性越大”，張磊說。

團隊關注微信、支付寶、抖音、Microsoft Teams、Go-jek等國內外主要移動應用、相應小程序、小程序支持功能。根據團隊采集到的數據，國內的微信、支付寶上小程序的體量基本上在數百萬小程序量級上，應用規模已經大于很多移動應用市場。

研究中，團隊發現這些小程序平臺在構建小程序生態環境時，使用了應用內置瀏覽器（WebView）這個開源技術組件作為它的基礎運行環境。以此出發，團隊結合軟件供應鏈安全的思想，針對小程序生態所依賴的WebView開展深度安全分析。

該論文展示的其中一種漏洞原理

通過分析WebView的代碼、邏輯、基礎架構的軟件行為，團隊發現一批普遍影響各類小程序框架中的訪問控制漏洞問題（Identity Confusion），利用這些漏洞，黑客可以悄無聲息地溜進受害者使用的宿主應用中，越權調用特權接口，泄露用戶敏感數據、控制用戶賬戶等。

在此基礎上，研究團隊針對主流應用市場47個流行宿主應用（微信、支付寶、抖音、今日頭條等），展開漏洞驗證和安全危害分析，證實這些應用的安卓版本和iOS版本均受這些漏洞影響，對廣大用戶群體產生嚴重安全威脅。

提供漏洞修復方案

“發現問題并不是為了去攻擊它，而是為了讓這些軟件變得更好、更安全。”

2021年，團隊花了近一年時間，與國家信息安全漏洞共享平臺CNVD、涉及廠商積極協作，幫助他們做漏洞修復，以共同維護小程序生態中的用戶信息安全。基于此，團隊根據漏洞研究報告、漏洞驗證與漏洞修復，總結出漏洞的基本原理，形成了這篇科研論文。

該團隊獲評2019年度復旦大學十佳三好導學團隊

自2013年開始，楊珉教授領銜的團隊就在移動安全（包括移動端用戶隱私安全上）做科學研究，此次論文既是他們在用戶隱私安全研究上取得的新成果，也是近幾年來取得的一項技術突破。2019年，該團隊也獲得復旦大學十佳導學團隊的稱號。由團隊內學生為主組建的白澤戰隊也是國內首支連續兩年獲得全國大學生信息安全競賽創新實踐能力賽總冠軍的隊伍。

“近年來，國內移動互聯網發展迅速，伴隨著的網絡安全問題出現在不同場景，希望能在移動安全領域做好做強，做出復旦的特色。”張磊說。

制圖：實習編輯：羅鈺責任編輯：李斯嘉