中大新闻网讯(通讯员林绿)近日,软件工程大会ICSE 2024在葡萄牙里斯本召开。中山大学网络空间安全学院副教授薛磊与香港城市大学、香港理工大学等单位学者合作发表的关于安卓应用安全的论文“Attention! Your Copied Data is Under Monitoring: A Systematic Study of Clipboard Usage in Android Apps”荣获ACM SigSoft杰出论文奖。
获奖论文针对Android系统中剪贴板系统实现的安全与隐私开展了系统化研究。
剪贴板允许用户在同一个应用程序内部或不同应用程序之间复制和粘贴文本,在移动应用程序中的使用十分普遍。然而,在移动操作系统中,剪贴板的访问控制不足,数据面临很高的风险,一个应用程序可以读取其他应用程序中复制的数据并将其存储在本地甚至发送到远程服务器。目前尚缺乏对整个移动应用程序生态系统的全面系统化研究。
该论文提出了一种自动化工具ClipboardScope,利用基于原则的静态程序分析,在规模上揭示移动应用程序中剪贴板数据的使用,将使用定义为两个方面的组合,即剪贴板数据如何验证及数据去向。该工具根据应用程序中的剪贴板使用定义了四种主要的剪贴板数据操作类别,即准确的、全垒打、有选择性的和精选。2022年6月Google Play上共有220万款移动应用程序,ClipboardScope对其中26201款应用程序进行了评估,运用这些应用程序访问并处理剪贴板文本。该研究还发现目前存在一种普遍的编程习惯,即使用SharedPreferences对象存储历史数据,这可能成为一种不易察觉的隐私泄露渠道。
据悉,IEEE/ACM ICSE,全称International Conference on Software Engineering,是软件工程领域公认的旗舰学术会议,CCF-A类国际学术会议。该会议旨在为研究人员、从业者和教育工作者提供软件工程领域最新相关理论技术、趋势、经验及问题的交流与分享机会。ACM SIGSOFT杰出论文奖是ICSE会议最重要的论文奖项;本年度ICSE国际会议接收的207篇高水平论文中,获得杰出论文奖的论文共计10篇。
