中大新聞網(wǎng)訊(通訊員林綠)近日��,軟件工程大會ICSE 2024在葡萄牙里斯本召開�。中山大學(xué)網(wǎng)絡(luò)空間安全學(xué)院副教授薛磊與香港城市大學(xué)、香港理工大學(xué)等單位學(xué)者合作發(fā)表的關(guān)于安卓應(yīng)用安全的論文“Attention! Your Copied Data is Under Monitoring: A Systematic Study of Clipboard Usage in Android Apps”榮獲ACM SigSoft杰出論文獎���。
獲獎?wù)撐尼槍ndroid系統(tǒng)中剪貼板系統(tǒng)實現(xiàn)的安全與隱私開展了系統(tǒng)化研究。
剪貼板允許用戶在同一個應(yīng)用程序內(nèi)部或不同應(yīng)用程序之間復(fù)制和粘貼文本,在移動應(yīng)用程序中的使用十分普遍。然而��,在移動操作系統(tǒng)中,剪貼板的訪問控制不足�,數(shù)據(jù)面臨很高的風(fēng)險���,一個應(yīng)用程序可以讀取其他應(yīng)用程序中復(fù)制的數(shù)據(jù)并將其存儲在本地甚至發(fā)送到遠(yuǎn)程服務(wù)器�����。目前尚缺乏對整個移動應(yīng)用程序生態(tài)系統(tǒng)的全面系統(tǒng)化研究。
該論文提出了一種自動化工具ClipboardScope�,利用基于原則的靜態(tài)程序分析��,在規(guī)模上揭示移動應(yīng)用程序中剪貼板數(shù)據(jù)的使用,將使用定義為兩個方面的組合����,即剪貼板數(shù)據(jù)如何驗證及數(shù)據(jù)去向��。該工具根據(jù)應(yīng)用程序中的剪貼板使用定義了四種主要的剪貼板數(shù)據(jù)操作類別,即準(zhǔn)確的�����、全壘打�����、有選擇性的和精選。2022年6月Google Play上共有220萬款移動應(yīng)用程序,ClipboardScope對其中26201款應(yīng)用程序進(jìn)行了評估��,運用這些應(yīng)用程序訪問并處理剪貼板文本���。該研究還發(fā)現(xiàn)目前存在一種普遍的編程習(xí)慣,即使用SharedPreferences對象存儲歷史數(shù)據(jù)�,這可能成為一種不易察覺的隱私泄露渠道���。
據(jù)悉�,IEEE/ACM ICSE�,全稱International Conference on Software Engineering,是軟件工程領(lǐng)域公認(rèn)的旗艦學(xué)術(shù)會議�,CCF-A類國際學(xué)術(shù)會議���。該會議旨在為研究人員��、從業(yè)者和教育工作者提供軟件工程領(lǐng)域最新相關(guān)理論技術(shù)、趨勢��、經(jīng)驗及問題的交流與分享機(jī)會�����。ACM SIGSOFT杰出論文獎是ICSE會議最重要的論文獎項��;本年度ICSE國際會議接收的207篇高水平論文中,獲得杰出論文獎的論文共計10篇���。
