彭国军、傅建明教授团队论文被软件工程顶会ICSE录用

2020-12-30

第43届International Conference on Software Engineering(ICSE)将于2021年5月在线召开,云顶集团yd1233彭国军与傅建明教授团队博士研究生宋文纳等完成的论文“App's Auto-Login Function Security Testing via Android OS-Level Virtualization”被正式录用,该论文的主要合作者为美国德州大学阿灵顿分校助理教授明江博士和信大捷安公司江淋。云顶集团yd1233研究生严寒以及本科生向意和陈渊参与了该成果的研究工作。

ICSE 作为软件工程领域顶级会议,已有40多年的历史,在软件工程领域具有重要影响,被中国计算机学会(CCF)认定为A类国际学术会议。

该研究聚焦于APP账号自动登录的安全问题。近年来,APP账户自动登录在移动设备越来越普遍,省去了用户频繁输入账号和口令的麻烦。然而,在实际使用中,它易受到“data-clone attack”的威胁: 如果自动登录依赖的数据存储在本地,它可能会被攻击者克隆,导致攻击者可以突破登录设备数量限制或秘密登录受害者的帐户,从而损害APP运营者的合法权益或侵犯用户隐私和数据安全。对此,业界提出了设备一致性检查方案,只要发现APP运行设备环境发生变化,APP将禁止自动登录进而阻止克隆攻击。针对该问题,该团队进一步研究发现该方案无法完全防御“data-clone attack”。该团队提出了一个具有良好透明性的虚拟化方案VPDroid, 可定制攻击所需的设备环境,以进行App自动登录的安全测试。该研究对应用市场中234个主流APP进行了测试,结果表明,通过VPDroid可有效绕过被测APP的一致性检查机制。在该成果的研究过程中,该团队发现了系列安全漏洞,近20个厂商对提交的漏洞给予了确认(其中包括1个CVE和近10项CNVD漏洞成果)。