你使用的小程序,是否会成为不法分子的“隐私提款机”?
小程序,作为移动互联网时代的新宠,早已渗透到我们生活的方方面面。从清晨点一杯咖啡,到下班后的打车回家,再到日常的线上购物、水电缴费,甚至是健康管理和教育学习,小程序以其“触手可及、用完即走”的便捷特性,迅速覆盖了数亿用户,被广泛应用到各行各业当中。
然而,你是否意识到,这些带来极大便利的小程序,可能也隐藏着严重的安全隐患?我们的最新研究表明,市面上海量小程序存在高风险漏洞,它们能让小程序用户的敏感信息被窃取、登录账号被劫持,甚至让不法分子实现“零元购”
安全噩梦
想象一下,方便快捷的“小程序手机号一键登录”功能,却因为开发者的实现缺陷变成攻击者直接登录账号的绿色通道,导致你的数字钱包、医疗记录等个人隐私在瞬间落入他人之手,甚至被冒用进行非法活动!更令人担忧的是,潜藏在小程序内部的支付漏洞,可能导致攻击者无需付款即可购买物品,使得商家蒙受巨额损失。这不是危言耸听,这些都真实发生在我们身边!
真实案例
敏感信息泄露
某医院小程序泄露其敏感云数据库中的所有患者数据,攻击者可以任意获取患者的真实姓名、就医记录、住院记录等高度敏感数据!这些隐私信息一旦落入不法分子之手,可能被用于精准诈骗、敲诈勒索,甚至医疗信息倒卖,后果不堪设想。
零元购
某电商小程序的支付环节存在致命逻辑漏洞。攻击者利用这一漏洞,可以在商品结算时无需实际支付任何费用,即可成功下单购买商品,轻松实现“零元购”,给商家带来巨大的经济损失和运营危机。
普遍危机
这些漏洞并非个别现象,而是已演变为一场波及甚广的数字安全风暴!我们的深入研究发现,超五万款小程序存在严重安全风险。它们就像一道道隐蔽而致命的“后门”,广泛存在于金融支付、社交电商、出行服务、教育学习、生活服务、医疗健康、政务办理等多个核心领域。
漏洞小程序分布:
这意味着,海量的用户敏感数据正面临严峻的泄露风险!从你的电子证件、数字钱包,到家庭住址、健康信息等,都可能因这些漏洞而被不法分子轻松窃取并恶意利用。这些潜在的风险,正随着小程序的普及,变得日益普遍和复杂严峻,不仅直接威胁到广大用户的数字资产安全与个人隐私,也对整个数字社会的健康发展构成了不容忽视的挑战。
敏感信息词云图:
白泽·鉴微平台
告别“裸奔”,复旦大学安全团队重磅推出“小程序安全体检”!
作为国内顶尖的网络空间安全研究团队,复旦大学系统软件与安全实验室小程序安全研究团队重磅推出了这款免费的小程序安全检测平台——白泽·鉴微。我们不是“纸上谈兵”,而是用先进的程序分析和代码语义理解技术,为你的小程序进行一次从内到外的“CT检查”,揪出潜在的安全漏洞!
目前,我们已协助国家关键部门和企业修复数百款存在高危漏洞的小程序,有效阻止了数百万条公民敏感信息泄露、账号被劫持的风险。这不是简单的技术修复,更是对每一位公民信息安全的承诺与守护。
我们开放免费检测服务,希望提升整个行业对小程序安全的重视与防护水平。无论你是初创开发者,还是大型企业的安全负责人,只需提交你的小程序ID,我们的自动化检测系统就能深度扫描发现安全漏洞。
项目负责人介绍
杨哲慜,复旦大学计算与智能创新学院副教授,博士生导师。研究方向为软件安全攻防技术,在网络安全顶级国际会议上发表论文20余篇,多项成果获网络空间安全顶级国际会议焦点论文、杰出论文奖等荣誉。曾获评新耀东方风采人物、上海市技术发明奖一等奖、中国计算机学会科学技术奖二等奖、上海市计算机学会科学技术奖一等奖。发现数万“零天”安全漏洞,影响谷歌、华为、三星、百度、阿里、腾讯、抖音、小米、高通等国内外知名企业及全球数十亿用户,国家互联网应急中心授予“2021年最具价值漏洞奖”。
联系方式:yangzhemin@fudan.edu.cn 白泽·鉴微小程序安全检测平台:https://security.fudan.edu.cn/miniappplatform 复旦大学系统软件与安全实验室:https://security.fudan.edu.cn