中大新聞網(wǎng)訊（通訊員林綠）近日，軟件工程大會(huì)ICSE 2024在葡萄牙里斯本召開(kāi)。中山大學(xué)網(wǎng)絡(luò)空間安全學(xué)院副教授薛磊與香港城市大學(xué)、香港理工大學(xué)等單位學(xué)者合作發(fā)表的關(guān)于安卓應(yīng)用安全的論文“Attention! Your Copied Data is Under Monitoring: A Systematic Study of Clipboard Usage in Android Apps”榮獲ACM SigSoft杰出論文獎(jiǎng)。

獲獎(jiǎng)?wù)撐尼槍?duì)Android系統(tǒng)中剪貼板系統(tǒng)實(shí)現(xiàn)的安全與隱私開(kāi)展了系統(tǒng)化研究。

剪貼板允許用戶(hù)在同一個(gè)應(yīng)用程序內(nèi)部或不同應(yīng)用程序之間復(fù)制和粘貼文本，在移動(dòng)應(yīng)用程序中的使用十分普遍。然而，在移動(dòng)操作系統(tǒng)中，剪貼板的訪(fǎng)問(wèn)控制不足，數(shù)據(jù)面臨很高的風(fēng)險(xiǎn)，一個(gè)應(yīng)用程序可以讀取其他應(yīng)用程序中復(fù)制的數(shù)據(jù)并將其存儲(chǔ)在本地甚至發(fā)送到遠(yuǎn)程服務(wù)器。目前尚缺乏對(duì)整個(gè)移動(dòng)應(yīng)用程序生態(tài)系統(tǒng)的全面系統(tǒng)化研究。

該論文提出了一種自動(dòng)化工具ClipboardScope，利用基于原則的靜態(tài)程序分析，在規(guī)模上揭示移動(dòng)應(yīng)用程序中剪貼板數(shù)據(jù)的使用，將使用定義為兩個(gè)方面的組合，即剪貼板數(shù)據(jù)如何驗(yàn)證及數(shù)據(jù)去向。該工具根據(jù)應(yīng)用程序中的剪貼板使用定義了四種主要的剪貼板數(shù)據(jù)操作類(lèi)別，即準(zhǔn)確的、全壘打、有選擇性的和精選。2022年6月Google Play上共有220萬(wàn)款移動(dòng)應(yīng)用程序，ClipboardScope對(duì)其中26201款應(yīng)用程序進(jìn)行了評(píng)估，運(yùn)用這些應(yīng)用程序訪(fǎng)問(wèn)并處理剪貼板文本。該研究還發(fā)現(xiàn)目前存在一種普遍的編程習(xí)慣，即使用SharedPreferences對(duì)象存儲(chǔ)歷史數(shù)據(jù)，這可能成為一種不易察覺(jué)的隱私泄露渠道。

據(jù)悉，IEEE/ACM ICSE，全稱(chēng)International Conference on Software Engineering，是軟件工程領(lǐng)域公認(rèn)的旗艦學(xué)術(shù)會(huì)議，CCF-A類(lèi)國(guó)際學(xué)術(shù)會(huì)議。該會(huì)議旨在為研究人員、從業(yè)者和教育工作者提供軟件工程領(lǐng)域最新相關(guān)理論技術(shù)、趨勢(shì)、經(jīng)驗(yàn)及問(wèn)題的交流與分享機(jī)會(huì)。ACM SIGSOFT杰出論文獎(jiǎng)是ICSE會(huì)議最重要的論文獎(jiǎng)項(xiàng)；本年度ICSE國(guó)際會(huì)議接收的207篇高水平論文中，獲得杰出論文獎(jiǎng)的論文共計(jì)10篇。