(星島日報報道)很多網民登入網站時忘記密碼,為便利用家,不少網站設置允許第三方登入的功能,造成不少風險。中文大學信息工程學系團隊,利用九個月時間,開發一套「S3KVetter」自動測試工具,檢測網絡漏洞,有關測試工具早前獲互聯網防禦獎第三名,團隊期望系統最終應用在套件開發商檢測。

  現時facebook、Google等大型網絡供應商,允許網民以該帳户登入第三方網站,過程需要第三方網站向原始帳戶供應商拿取資料,又或從一些志願的開發商拿取名為開發套件(SDK)的資料以確認用家身分。但其實這類登入方式存在一定安全漏洞。中大信息工程學系團隊教授劉永昌指,當網民以這種單點式登錄(SSO)方式登入,牽涉多方認證,其中身分供應商未更新套件資料或套件本身有安全漏洞,可能會被黑客盜用。

  他稱,單點式登錄須由身分提供商向第三方網站提供帳戶信息外,更有一個由身分提供商或志願者提供開發套件,比對用戶的身分,第三方更須下載更新套件資料。一旦套件資料出現漏動,網民登入第三方網站時有安全風險,而一旦有黑客假冒成第三方網站,誘使網民訪問,同樣會泄漏網民的帳戶資料。

  中大信息工程學系團隊花近九個月時間,利用符號執行,比對十種網民常用的SDK,包括facebook提供的套件,成功開發「S3KVetter」自動測試工具,五秒即可檢出套件的漏洞,包括發現七種邏輯漏洞,其中四種更是以往未發現的漏洞。

  該測試工具在第二十七屆網絡安全會議上獲互聯網防禦獎第三名,並獲得四萬美元研究基金,劉永昌期望,將來系統能開放予身分供應商以檢測安全漏洞。