复旦大学系统软件与安全实验室在小程序生态领域取得最新研究进展

复旦大学系统软件与安全实验室在小程序生态领域取得最新研究进展，该研究在小程序生态中提出了一种新的攻击形式，并对其在现实世界进行了评估。研究成果整理成文后发表在学术会议SaTS 2023上。

背景介绍

小程序生态因其提供多样化的小程序而变得非常流行，使用户能够访问各种特性和功能而无需离开超级应用。这些小程序通过将远程Web内容动态加载到基于WebView的运行时中，并能够通过超级应用提供的专用API访问敏感数据和系统资源，提供了强大的功能。确保小程序加载的网页内容是安全可信的，对保障整个生态系统的安全至关重要。

受内容安全策略的启发，小程序生态采用了域名白名单机制，以阻止潜在有害内容的加载。开发人员定义了被视为安全的域名白名单，而超级应用在运行时强制执行这些白名单。这种机制虽然能够阻止一些恶意内容的加载，但它建立在一个不可靠的假设上，即白名单中的所有域名都是安全的。实际上，这些域名的数量和安全性往往没有得到充分保证，导致生态系统面临安全风险。

研究问题

鉴于上述问题，本文在小程序生态中提出TrustedDomain Compromise Attack（TDCattack），并确定两个不同的攻击向量：1.白名单域名滥用，例如子域接管；2.不安全的域名资产，例如 XSS 和开放重定向。本文证明，即使超级应用严格执行白名单验证，小程序仍然会受到 TDCattack 的影响。攻击者通过操纵不安全的域名或域名资产，可以通过在受保护的小程序上下文中加载页面来实现网络钓鱼攻击，以及甚至执行恶意代码。更严重的是，攻击者可以进一步滥用超级应用提供的运行时API，即未经授权访问敏感的超级应用数据和系统资源。

本文的研究围绕着三个研究问题展开：

给定小应用程序的白名单中包含哪些域以及多少个域？

各种超级应用中哪些漏洞可以被利用来启动TDCAtack？    

TDCattack 如何影响现实世界的小应用程序？

研究成果

本文发现域名白名单机制在小程序生态系统中并不可靠，因为它假定白名单域名下的所有网页都是可信的。为了证明这一弱点本文提出了一种名为 “TDC Attack”的新型攻击，以及两个攻击向量，攻击者可以通过操纵不安全的域名或URL绕过白名单检查，发起网络钓鱼攻击或滥用运行时API。本文首次在现实世界的小程序生态系统中对 TDCAttack 进行了实证研究。具体来说，本文研究了白名单机制失效的根本原因，并提出了一种自动分析框架，用于识别真实世界小程序中的 TDCAttacks。实验表明，包括微信、支付宝和百度在内的流行小程序生态系统都容易受到 TDCAttack 的攻击。此外，本文还发现了 26 个可被利用的小程序。