防黑客盜個人資料 中大研程式 5秒揭社交網登入漏洞
【明報專訊】現時不少網站容許網民使用社交網站帳戶登入,毋須於網站申請帳戶,方便網民不需記住大量帳戶登入資料。香港中文大學信息工程學系研發的自動測試工具,在相關軟件開發套件中發現了4種過去未被發現的漏洞,有可能讓黑客由此竊取網民在其他網站的私人資料。
明報記者
獲美互聯網防禦獎季軍
中大信息工程學系副教授劉永昌說,不少網站會安裝相關軟件開發套件(SDK),讓用戶以社交媒體帳戶登入網站(SSO),毋須登記新帳戶。團隊用了9個月研發自動測試工具S3KVetter,僅需5秒就可以測出SDK程式內的漏洞,更憑此在美國第27屆網絡安全會議獲facebook頒發互聯網防禦獎第三名,是首次有亞洲團隊獲此殊榮。
4種登入漏洞首被發現
劉永昌表示,S3KVetter測試了10個SDK程式,當中包括facebook自行開發的SDK,及下載數量逾600萬的OAuthLib,共發現了7種漏洞,其中4種過去從未為人所知,已通知相關軟件開發公司修補漏洞。
程式的漏洞有可能令黑客有機可乘,竊取用戶在其他網站上的資料。劉永昌解釋,黑客如在其開設的釣魚網站安裝有漏洞的SDK,用戶若以SSO形式登入該網站,黑客就可循漏洞竊取用戶其他以同一SDK登入的網站上的資料。
劉永昌說,SSO可方便用家,毋須記住大量網頁的登入資料,但存在被盜私隱風險,建議用戶自行衡量,如涉及銀行戶口等重要資料就不要以SSO形式登入。他稱其個人與團隊除實驗外,都不會用SSO形式登入各個網站。
將研新工具測試電子支付平台
為保護網絡安全,劉稱團隊會用是次獲得的4萬美元獎金繼續完善S3KVetter,之後或作開源軟件,讓網頁安裝SDK前可免費以工具測試,保障用戶。他又指未來將會以相似的方式,研發新的工具測試電子支付平台的漏洞。