防黑客盜個人資料 中大研程式 5秒揭社交網登入漏洞

[2018.08.29] 發表
中大信息工程學系團隊研發的自動測試工具,只需5秒就能找到讓用戶以社交媒體登入網頁的套件程式的漏洞,在美國第27屆網絡安全會議上獲facebook頒發互聯網防禦獎第三名。後為該學系副教授劉永昌。(曾憲宗攝)

【明報專訊】現時不少網站容許網民使用社交網站帳戶登入,毋須於網站申請帳戶,方便網民不需記住大量帳戶登入資料。香港中文大學信息工程學系研發的自動測試工具,在相關軟件開發套件中發現了4種過去未被發現的漏洞,有可能讓黑客由此竊取網民在其他網站的私人資料。

明報記者

獲美互聯網防禦獎季軍

中大信息工程學系副教授劉永昌說,不少網站會安裝相關軟件開發套件(SDK),讓用戶以社交媒體帳戶登入網站(SSO),毋須登記新帳戶。團隊用了9個月研發自動測試工具S3KVetter,僅需5秒就可以測出SDK程式內的漏洞,更憑此在美國第27屆網絡安全會議獲facebook頒發互聯網防禦獎第三名,是首次有亞洲團隊獲此殊榮。

4種登入漏洞首被發現

劉永昌表示,S3KVetter測試了10個SDK程式,當中包括facebook自行開發的SDK,及下載數量逾600萬的OAuthLib,共發現了7種漏洞,其中4種過去從未為人所知,已通知相關軟件開發公司修補漏洞。

程式的漏洞有可能令黑客有機可乘,竊取用戶在其他網站上的資料。劉永昌解釋,黑客如在其開設的釣魚網站安裝有漏洞的SDK,用戶若以SSO形式登入該網站,黑客就可循漏洞竊取用戶其他以同一SDK登入的網站上的資料。

劉永昌說,SSO可方便用家,毋須記住大量網頁的登入資料,但存在被盜私隱風險,建議用戶自行衡量,如涉及銀行戶口等重要資料就不要以SSO形式登入。他稱其個人與團隊除實驗外,都不會用SSO形式登入各個網站。

將研新工具測試電子支付平台

為保護網絡安全,劉稱團隊會用是次獲得的4萬美元獎金繼續完善S3KVetter,之後或作開源軟件,讓網頁安裝SDK前可免費以工具測試,保障用戶。他又指未來將會以相似的方式,研發新的工具測試電子支付平台的漏洞。

更多港聞
【明報專訊】石硤尾h美映樓2014年發生煤氣爆炸事故,消防總隊目梁國基殉職,其死因研訊昨續。退休高級消防區長稱,指引列明消防員在懷疑火警的情... 詳情
囚犯覆核爭打電話權 指限制無關維持秩序
【明報專訊】透過司法覆核為囚犯爭得投票權的在囚者蔡全新,因不滿懲教署限制他在獄中致電外界,認為署方做法違憲,提出司法覆核,案件昨日在高院審理... 詳情
尊子漫畫
【明報專訊】(請看附圖) 詳情
區鎮樺指警員態度差 反遭網民圍剿  鬧抄牌阿sir  區議員向公眾道歉
【明報專訊】民主黨大埔區議員區鎮樺早幾日因為違泊被抄牌,佢因為唔滿意抄牌警員態度唔好兼呼喝佢,25號清晨鐪acebook發帖炮轟該名警員,... 詳情
創辦44年 改版變細  《教協報》改走雜誌風
【明報專訊】創辦?44年鵅m教協報》,新一期正式改版,由以往大報紙鮢ize變成免費報鴾j細。教協中人同Emily講,好多人當教協報只係一份... 詳情

明報網站 · 版權所有 · 不得轉載
Copyright © 2018 mingpaocanada.com All rights reserved.
Ming Pao Daily News A wholly owned subsidiary of Ming Pao Enterprise Corporation Ltd.
Toronto Chinese Newspaper

1355 Huntingwood Drive, Scarborough, Ontario, Canada M1S 3J1 | Tel.: (416) 321-0088 | Fax: (416) 321-9663 | Advertising Hotline Tel: (416) 673-8250