貪方便用社交帳戶登入其他網站 隨時私隱外洩

貪方便用社交帳戶登入其他網站 隨時私隱外洩

【經濟日報專訊】不少網民為了方便,都會用個人Facebook、Google等社交帳戶,登入其他應用程式(App)或網站,但原來當中暗藏安全漏洞,隨時洩露用戶私隱,甚至盜用受害人的信用卡用來購物。

中大信息工程學系團隊以自家研發系統,發現多個提供以上登入方式的軟件開發套件(Software Development Kit,SDK)有7種漏洞,其中4種是首次發現的。他們憑相關論文奪得Facebook互聯網防禦獎第三名,是首次有亞洲團隊奪得此獎。

揭開發套件7漏洞 4種首發現
用社交帳戶登入第三方應用程式(App)或網站的方法,稱之為單點式登入(Single Sign-On,簡稱SSO)。中大信息工程學系教授劉永昌表示,SSO普遍存在安全漏洞,黑客可利用漏洞騎劫帳戶登入其他網站,影響數以億計網民的網絡安全。

其團隊自2014年起研究SSO的安全漏洞,最新研究針對SSO服務SDKs的安全性。市面除了社交平台本身提供的SDKs,亦有由第4方開發商開發的SDKs,整合支援各大社交平台帳戶登入,當中部分SDKs有過萬行編碼,無可能靠人手檢查。

團隊花9個月時間,研發了名為S3KVetter的系統,自動檢測SSO SDKs漏洞,5秒便完成掃描一個SDK。團隊掃描市面上10款廣泛使用的SSO SDKs,總下載次數逾千萬,發現了7種邏輯漏洞,其中4種更是全球首次發現。

可入侵帳戶 盜用信用卡購物
劉稱,黑客可以透過這些漏洞,直接控制受害人的帳戶。他提及團隊於2016年底的研究發現,黑客入侵後,可掌握網民在第三方網站的行動,如在旅遊產品訂購網站,可知道網民買到哪堛瑣鰷慼A入住哪間酒店,團隊模擬黑客所為,更成功在一個酒店預訂網站,盜用團隊其中一名成員的信用卡再購物。

團隊已向該10款SDKs的開發商應羉|洞,現已修補。他建議,網站、App開發者應盡責定時更新SDKs,避免被黑客利用已曝光漏洞入侵。被問到用家如何自保?劉表示,現時開發App相當簡單,一個9歲小孩都有能力開發支援SSO的程式,但他無可能發現所用的SDK中有沒有漏洞,故用家在決定是否使用社交帳戶登入前,應考慮第3方網站的技術能力。

團隊憑相關研究論文,早前在美國的第27屆網絡安全會議,奪得Facebook互聯網防禦獎第三名,並獲發4萬美元(約31萬港元)研究資金,是首次有亞洲團隊奪得此獎。劉表示,尚未決定何時公開自動檢測系統供外界使用,研究資金將用於繼續完善系統,以及日後作其他相關研究,如移動支付系統。

Look out for further updates on our Facebook fan page!

Related Articles

More