微信小程序的兴起和流行让手机厂商看到了免安装应用的前景,许多厂商推出了轻应用、免安装应用等功能。但是,这个功能可能会使系统承受被入侵的风险。
安卓系统上定义了深度链接这种特殊的链接。深度链接将控制流从一个网页导向一个手机上的应用程序。由于自身缺陷,谷歌在安卓6.0版本之后,推出了更加安全的应用链接。
与深度链接不同的是,应用链接必须是类似http(s)://...这样的格式,并且系统强制了针对应用链接的相关验证。但是,由于免安装应用的存在,针对应用链接的验证可以很容易就被绕过。
就此,上海科技大学信息学院唐宇田课题组与合作者在安卓系统安全方面展开合作。
研究人员在真实环境下演练了攻击方案。通过对40万个谷歌应用商店中的应用程序进行调研,研究人员发现约30%的程序会受到此攻击的影响,其中不乏一些非常著名的应用软件。
研究人员不仅发现了现有安卓系统中的致命漏洞,也和Google、Oppo等众多移动应用、设备厂商共同解决了这一问题,填补了漏洞。该项工作受到了谷歌安卓安全团队的高度评价。
此研究由上海科技大学、香港理工大学、悉尼科技大学等单位协作完成,上海科技大学为第一完成单位。
本文来源前瞻网,转载请注明来源。本文内容仅代表作者个人观点,本站只提供参考并不构成任何投资及应用建议。(若存在内容、版权或其它问题,请联系:service@qianzhan.com)