中大團隊尋單點式登入漏洞 獲Facebook互聯網防禦獎

Net+

發布時間: 2018/08/28 17:43

最後更新: 2018/08/28 20:42

分享:

分享:

中大信息工程學系教授劉永昌(右二)表示,在SSO的軟件關發套件(SDKs)中普遍存在漏洞

不少網民為了方便,都會用Facebook等個人社交帳戶登入應用程式或網站,稱之為單點式登入(Single Sign-On,簡稱SSO)但中大信息工程學系教授劉永昌表示,SSO普遍存在漏洞,黑客可利用漏洞騎劫用戶帳戶,登入使用SSO的其他網站,影響數以億計網民。

其團隊2014年起研究SSO的安全漏洞,最新研究針對SSO服務的軟件開發套件(SDKs)的安全性,花了9個月時間,研發了一個名為S3KVetter的系統,自動檢測SSO SDKs漏洞,5秒完成掃瞄一個SDK。在10款共下載逾千萬次的SSO SDKs中,團隊發現7種漏洞,其中4種更是從未為人所知。

團隊早前在美國奪得Facebook互聯網防禦獎(Internet Defense Award)第三名,並獲發4萬美元研究資金,是首次有亞洲團隊奪得此獎。