另一項研究由同系副教授劉永昌及其團隊兩名研究生胡辟礫及楊榮海進行。劉指出,現時社交網站如Facebook、Instagram、新浪微博、百度等廣泛採用的開放授權認證系統2.0,即Open Authentication Protocol (OAuth) 亦存有漏洞。
黑客取權限升級 竊社交網用戶資料
劉永昌解釋:“黑客可假裝成應用程式的身份,取得權限升級,竊取數以億計社交網站用戶的照片、活動狀態、朋友關係及手機等個人資料,並可監察用戶在網上活動狀況。”團隊在研究的12個主流社交網站中,已發現8個存在假裝應用程式漏洞,故已通知受影響的社交網絡服務供應商。
為測試應用程式及社交網站的安全性,團隊開發出一個自動檢測軟件(OAuth Tester),結果發現逾55%、即405個被測試的應用程式,出現不同的保安漏洞。劉永昌稱團隊已申請中大的種子基金,進一步研究該檢測軟件。但他指出,大多數用戶並不知道哪些網站或應用程式存有漏洞,亦不知道個人資料何時被竊取,根本防不勝防,“所以只有依靠社交網站和第三方應用程式開發者來堵塞漏洞。” |
