中大科研揭單點式登入漏洞

  不少網民會透過facebook等社交帳戶登入其他應用程式,中文大學信息工程學系成功研發S3KVetter系統,發現使用單點式登入(SSO)的軟件開發套件(SDKs)存有四種程式登錄漏洞。黑客可利用漏洞入侵用戶使用的網站,預計影響數以億計網民。

  中大信息工程學系教授劉永昌指出,團隊耗時九個月研發的S3KVetter系統,可於五秒內完成掃描一個SDK,自動檢測SSO的漏洞,而系統所發現的七個漏洞已上報予十間SDKs的開發商,亦已作出修正。他續指,各程式開發者應盡責恒常更新SDKs版本,避免被黑客利用已曝光的漏洞入侵程式。

  有關的研究論文,早前更在美國奪得facebook互聯網防禦獎第三名,獲發四萬美元研究資金,是首次有亞洲團隊獲得該獎項。劉永昌表示,是次獲獎令工程學院非常鼓舞,反映中大在應用密碼學、網絡安全及私隱方面的研究已達致世界級水平。


hd