眾新聞 Logo
眾新聞 CitizenNews
眾聞

中大研究:用社交媒體帳號登入網站 有機會遭駭客盜取資料


在網上經Facebook、新浪微博等社交媒體的帳號作認證,即可登入不少網站或應用程式的帳號,既省時又省下記住不同帳號的精力。不過,方便的代價是有被駭客入犯的危機。

香港中文大學信息工程學系團隊花9個月時間,研發自動測試工具S3KVetter,發現用戶用以上方法登入,有可能被駭客有機可乘,控制用戶所登入的網站帳號,及獲取用戶的網上活動記錄。有關研究論文在本月於美國舉行的第27屆網絡安全會議(USENIX Security Symposium)上,獲Facebook頒發互聯網防禦獎(Internet Defense Award)第三名,以及獲得4萬美元研究資金,是首個亞洲研究團隊獲此項國際榮譽。

(左起)中大工程學院信息工程學系助理教授張克環、博士畢業生楊榮海、博士生陳炯嶧、副教授劉永昌,發表論文指,用戶經社交媒體登入其他網站,有可能被駭客有機可乘,控制用戶的帳號,及獲取用戶的網上活動記錄。陳芷琪攝

用傳統方法登入網站,通常需要申請一個帳號。但以「單點式登入」(Single Sigh on (SSO)),用戶透過社交媒體的帳號確定身份後,便可登入不同的網站。只要網站下載相關的「軟件開發套件」(Software Development Kit),便可讓用戶以單點式登入。

中大研究獲獎團隊成員包括:中大工程學院信息工程學系副教授劉永昌、博士生陳炯嶧、博士畢業生楊榮海、助理教授張克環。他們在設計自動測試工具S3KVetter的過程中,利用符號推理,把不同網站套件的運作程序,演變成一個路徑圖,然後定義何謂安全的單點式登入,再看套件中每條路徑是否安全。S3KVetter在5秒內,即可檢查到每個單點式登入套件的邏輯及安全漏洞。團隊以S3KVetter,測試市場上10個單點式登入套件,它們都被多個網站及程式開發人員下載過萬次,甚至數百萬次,包括Facebook、新浪微博、微信的套件等。

團隊最後發現,單點式登入套件的7種邏輯漏洞,其中4種是首次發現。當中有一種漏洞可令駭客直接控制用戶在網站的帳號,及獲取用戶的網上活動記錄。駭客會先開發一個惡意網站,引誘用戶以單點式登入,藉此拿取用戶登入該惡意網站的「鎖匙」,然後用這條「鎖匙」,冒充用戶的身份,登入用戶使用的其他網站,以獲取用戶的網上活動記錄。用戶以單點式登入不同網站時,社交媒體每次都會給用戶不同的「鎖匙」,駭客獲得一條「鎖匙」理應是不可以用此登入另一網站,但因網站有漏洞,令駭客用一條「鎖匙」便可登入用戶使用的其他網站。

舉例說,如用戶以Facebook帳號作認證,分別登入3個網站,駭客獲取用戶登入一個網站的「鎖匙」後,就可冒充用戶,登入另外兩個網站。劉永昌提到,如用戶以單點式登入旅遊網站,駭客可以獲取用戶買機票及酒店的資料,但成功盗用信用卡的機會較微,因以信用卡付款需進一步認證。

那麼駭客能否盗取用戶的社交媒體帳號?劉永昌指,如果用戶用單點式登入套件申請社交媒體帳號,則有此可能性。例如,用戶可用新浪微博的帳號登入百度,如駭客獲取用戶以新浪微博登入其他網站的「鎖匙」,則有機會利用安全漏洞,盗用用戶的百度帳號。

中大團隊完成研究後,已通知測試的10個單點式登入套件其安全漏洞,部分漏洞已被修補,不過若網站不更新套件,用戶仍有機會受害。團隊未有提到哪些網站正使用有安全漏洞的套件。

劉永昌舉例,用戶可用新浪微博的帳號登入百度,如駭客獲取用戶以新浪微博登入其他網站的「鎖匙」,則有機會利用安全漏洞,盗用用戶的百度帳號。網上截圖

單點式登入出現初期,是由各社交媒體公司提供專屬的「軟件開發套件」,網站下載套件後,就可令用戶以單點式登入。現時,越來越多「軟件開發套件」不是由社交媒體公司提供,是由其他公司開發一站式套件,一次過為網站提供多個社交媒體的單點式登入方法,令漏洞更容易出現。

被問到市民是否不應該使用單點式登入,劉永昌建議市民只在可信任的網站使用單點式登入。那市民如何分辨哪些網站較安全?劉永昌指,每個人對安全的定義不一,但他說:「我估我們的研究室入面,除了做實驗和玩之外,我們不會用(單點式登入)。」不過,他認為不使用單點式登入不代表一定較安全,若市民要記不同的帳號,為求方便或會設置安全性較低的密碼,亦容易被駭客入侵。

「互聯網防禦獎」是Facebook與美國高等計算機系統協會(USENIX)於2014年聯合創辦,旨在匯聚世界各地之網絡保安學者、工程業界專家及研究人員,鑽研網絡個人資料管理及網絡安全等課題論文,並表彰對互聯網保護和防禦作出重大貢獻的團隊。劉永昌表示,約有500篇論文申請在會議上討論,其中100篇被挑選,然後再從中揀選「互聯網防禦獎」得主。對於論文獲奬,陳炯嶧高興地說:「其實很意外,沒有想到會獲獎,非常開心。」

劉永昌表示,團隊會利用4萬美元研究資金,完善S3KVetter,日後或會公開予程式人員使用,團隊亦會繼續研究單點式登入的其他問題,「我們知道會影響到數以億計網民的安全,相信(今次發現的)不會是最後一個漏洞。」團隊亦已開始研究電子支付的安全漏洞。


請加入成為眾新聞的月費訂戶,長期支持我們的工作。所有訂戶都可以收到我們的「每周時事」通訊 。

月費訂戶網址:hkcnews.com/aboutus/#subscribe