報(bào)告人簡(jiǎn)介：

張玉清，中國(guó)科學(xué)院大學(xué)/中關(guān)村實(shí)驗(yàn)室教授/博導(dǎo)，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心主任，主要從事網(wǎng)絡(luò)與系統(tǒng)安全方面的研究，發(fā)表SCI/EI論文100余篇，其中有ACM CCS、USENIX SECURITY、IEEE S&P、NDSS、TDSC等，制定國(guó)家及行業(yè)標(biāo)準(zhǔn)7個(gè)，先后承擔(dān)國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目、國(guó)家自然科學(xué)基金重點(diǎn)項(xiàng)目、國(guó)家242信息安全計(jì)劃項(xiàng)目等課題，主要研究方向：網(wǎng)絡(luò)攻擊與防御、安全漏洞挖掘與利用、人工智能與安全、物聯(lián)網(wǎng)安全等。

內(nèi)容摘要：

移動(dòng)應(yīng)用中，個(gè)人身份信息(PII，如身份證號(hào)等），也常被作為一種附加認(rèn)證因素來認(rèn)證用戶身份。我們研究發(fā)現(xiàn)這些應(yīng)用面臨著一種新的安全威脅：應(yīng)用程序的同時(shí)使用和業(yè)務(wù)關(guān)聯(lián)將使目標(biāo)應(yīng)用程序的身份認(rèn)證強(qiáng)度變?nèi)酢９粽咴趽碛猩矸菡J(rèn)證因素少于所需身份認(rèn)證因素的情況下，可以通過從其他應(yīng)用中收集PII或?yàn)E用跨應(yīng)用程序授權(quán)從而來突破身份認(rèn)證。我們?cè)O(shè)計(jì)了一個(gè)半自動(dòng)化系統(tǒng)并測(cè)量了234個(gè)應(yīng)用，發(fā)現(xiàn)有75.4%的手機(jī)應(yīng)用的身份認(rèn)證系統(tǒng)可以被突破或者繞過，包括支付寶、微信、銀聯(lián)等應(yīng)用，從而導(dǎo)致用戶賬戶被劫持、未經(jīng)授權(quán)的購(gòu)買等嚴(yán)重后果。最后，我們向廠商報(bào)告了我們的發(fā)現(xiàn)，并提出了風(fēng)險(xiǎn)緩解措施。

歡迎廣大師生參加！

信息科學(xué)與工程學(xué)院（軟件學(xué)院）

2024年8月10日