防黑客盜個人資料 中大研程式 5秒揭社交網登入漏洞

防黑客盜個人資料中大研程式 5秒揭社交網登入漏洞

[2018.08.29] 發表

【明報專訊】現時不少網站容許網民使用社交網站帳戶登入，毋須於網站申請帳戶，方便網民不需記住大量帳戶登入資料。香港中文大學信息工程學系研發的自動測試工具，在相關軟件開發套件中發現了4種過去未被發現的漏洞，有可能讓黑客由此竊取網民在其他網站的私人資料。

明報記者

獲美互聯網防禦獎季軍

中大信息工程學系副教授劉永昌說，不少網站會安裝相關軟件開發套件(SDK)，讓用戶以社交媒體帳戶登入網站(SSO)，毋須登記新帳戶。團隊用了9個月研發自動測試工具S3KVetter，僅需5秒就可以測出SDK程式內的漏洞，更憑此在美國第27屆網絡安全會議獲facebook頒發互聯網防禦獎第三名，是首次有亞洲團隊獲此殊榮。

4種登入漏洞首被發現

劉永昌表示，S3KVetter測試了10個SDK程式，當中包括facebook自行開發的SDK，及下載數量逾600萬的OAuthLib，共發現了7種漏洞，其中4種過去從未為人所知，已通知相關軟件開發公司修補漏洞。

程式的漏洞有可能令黑客有機可乘，竊取用戶在其他網站上的資料。劉永昌解釋，黑客如在其開設的釣魚網站安裝有漏洞的SDK，用戶若以SSO形式登入該網站，黑客就可循漏洞竊取用戶其他以同一SDK登入的網站上的資料。

劉永昌說，SSO可方便用家，毋須記住大量網頁的登入資料，但存在被盜私隱風險，建議用戶自行衡量，如涉及銀行戶口等重要資料就不要以SSO形式登入。他稱其個人與團隊除實驗外，都不會用SSO形式登入各個網站。

將研新工具測試電子支付平台

為保護網絡安全，劉稱團隊會用是次獲得的4萬美元獎金繼續完善S3KVetter，之後或作開源軟件，讓網頁安裝SDK前可免費以工具測試，保障用戶。他又指未來將會以相似的方式，研發新的工具測試電子支付平台的漏洞。