超级应用程序中认证密钥的泄漏和可利用性测量:微信案例
摘要:开发者的不安全实践导致小程序到超级应用程序的身份验证绕过,其中硬编码开发者秘密用于此身份验证是一个重要因素。我们还通过检查个别超级应用程序的服务器端API来分析微应用中开发者秘密泄露的可利用性和安全后果。我们开发了一个分析框架,用于测量这种秘密泄露,并主要分析了110,993个微信小程序和10,000个百度小程序(两个最重要的超级应用程序平台),以及其他几个数据集以测试开发者实践和平台安全执法随时间的演变情况。我们发现大量微信小程序(36,425个,占32.8%)和少数百度小程序(112个)泄露了开发者的秘密,这可能对小程序的用户和开发者造成严重的安全和隐私问题。一个甚至没有在超级应用程序平台上注册的网络攻击者可以有效地摧毁一个小程序、向用户发送恶意和钓鱼链接,并访问小程序开发者和其用户的敏感信息。我们负责地公开了我们的发现,并提出了潜在的方向,可以考虑缓解/消除开发者在小程序的前端代码中硬编码应用程序秘密的根本原因。
作者:Supraja Baskaran and Lianying Zhao and Mohammad Mannan and Amr Youssef
论文ID:2307.09317
分类:Cryptography and Security
分类简称:cs.CR
提交时间:2023-07-19